SIEMENS 


SITRAIN 
Digital Industry 
Academy 


Programmation 
avec 

STEP 7 Safety du 
TIA Portal 


Cours TIA-SAFETY 


Nom: 
Cours du: au: 
Formateur: 


Lieu: 


Le présent document est un support de formation. 

SIEMENS ne garantit aucunement son contenu. 

La transmission ou la duplication du document ainsi que |‘exploitation 
ou la communication de son contenu sont interdites, sauf autorisation 
expresse. Toute infraction est passible de dommages et intéréts. 
Copyright © Siemens AG 2020. Tous droits réservés, notamment en 
cas de dépét d'un brevet/ou de tout autre droit de protection de la 
propriété industrielle. 

Offre de formation SITRAIN sur Internet : www.siemens.de/sitrain 
Version du cours : V16.00.01 

(pour STEP 7 V16 Safety Advanced) 


Modif MC 28/09/2020 


1. Normes 


2. Présentation des equipements 


3. Principe de fonctionnement Safety Integrated 


4. Station de travail et configuration matérielle 


5. Raccordement capteur/actionneur 


6. Programmation 


7. Communication de sécurité 


8. Temps de réaction 


9. Reception d’une installation 


10. Maintenance et diagnostic 


11. Annexe: Migration 


12. Formation et Support 


SIMATIC TIA Portal Safety Advanced 


Table des matieres T 


1. Présentation des normes et des directives EN VIQUEUL ...........ccccceeeeeeeeeeeeteeeeeeeeeeeeees 1-2 
1.1. Cadre: législatif: de: | WE iaccc.iie ac ctsvicect cayaedeuts yoda st sis ad cf saa ybdeei ous secueea bidas¥ oti bg et ca uddert ca qaedanta dude dads 1-3 
1.2. Définition d’un fabricant de MACHINES ...............ccccececeeeeeeeeeeeceeeeeeeeeeaeeeeeeeeeseceeaeeeeeeeseeeesanaeess 1-4 
1.3. Présentation des directiveS CN VIQUCUD ...........::cceecceceeeeeeeeeeeseeceeeeeceaeeeseaeeeeaeeseaeeesaeeesaaeeeeees 1-5 
1.4. Choix de la OU eS CireCtiVe .........cccceceeececeeseecececseeeeeeseeeeeeceeeeeeceeeeeeeseeeseeeseeeeesseeeaeeesseaaeess 1-6 
1.5. Normes de Sécurité internationales ............ccccccccsscccceesneceeeesneeececseeeceseaeeeeesseeeeessaeeeessseeeenees 1-7 
1.5.1. NOrmeS NarMoOniSée ..........cccccceesscceeeenneceeeesneeeeecsaeeeeeseaeeeeeeaeeeeeeeaeeeeeseaeeeeeseeeeeesseeeessneeeeneas 1-9 
1.5.2. La hiérarchie des normeS de SECUTIE........ cece ceesceceeseeceeeeeeeceeeceneceeeceeeeeeesseeeeeeseeaeeessneaeess 1-10 
1.6. Exemple de machine « EtiqueteuSe » .......cccccsecccsssesssssscsssssssssssescessseessseseesesesneacecesesssnenenens 1-11 
1.7. Mise en ceuvre de la directive Machines + Application a une étiqueteuse...............::: 1-12 
1.8. Processus d’appréciation du risque Selon EN ISO 12100 ........ccccsceseeeeteeteeeeeeeeneeeeenees 1-13 
1.8.1. Etape 1 = Déterminer les limites do la: Machine t.c.:..:s::scscecasssnasnecieseeseietanusieiecwecarsenrtnneseetie 1-14 
1.8.2. Etape:2:: ‘Identities les -phenomenes: dang Creux tr...asscaeseeeieuenssneiaeraiens xiunsarereaensrenepeiene 1-16 
1.8.3. Blape 3 i EStimer le (ISQUE sgesveetsisvncsiinerssiadanseniierraaasieainnainiennGaradnuveesisives 1-19 
1.8.4. Etape 4 : Evaluer le riSQue ......... cccceecccceesecccceeeseceeeeeeeceeeseeceeeeaseceeesssecaeesaeeeeeseseeeeesneeaeenetaes 1-23 
1.8.5. PROSUING wage lieeis Sacaiscedeee tess olecdaedencCedtulcdbea Micedaisalecdda Uheabedduasauea Macddeaws aeciadllseasty duudeeaMdeeavadine 1-27 
1.9. Reduction-du risque selon EN ISO 12100 2.0: se ssid Sel ca tadtae. viene ad Seaatrte eine 1-28 
1.9.1. Etape l= COnceptih SVG aa. eeSicnc ult ye eine niriint led alae autdands Sevanasialinds Glad 1-29 
1.9.2. Elape 2: Mesures Ge protection TeCHiiQUes ‘witvaseiwrcsessie asuwines vibe anvesnerndibaaesvusiacatyeves 1-31 
1.9.3. Etape 3 : Information des utilisateurs sur les risques réSiduels............:::cccceeeeeeeeseeeeeneeeeees 1-43 
1.9.4. PROS UNINC ress 2A lacus duce etal ceeded lie Rae yactada uted eld succeed setts tad eteled dae Oa tad acdutda'santatadacaeta Nactheatuel 1-44 
1.10. PUG Station Ge xCOMtOn nie 4s .is.sf05 access ac sucemsargeal ansd diase vidas snanlansatodestacasec aaptageet cteegiaieodastas 1-45 
1.10.1. Evaluation de la CONfOrMité......... ce cceccceesececeeeeeeeeeseeeeeeeceeeeeeseeeeeeseeeaeeeseneseesseneeesseeeaeess 1-46 
1.10.2. Contenu de la déclaration CE de Conformité ............cceccceeeeeeceeeeeeeeeeeeeeeeeseeeeeseaeeeseaeeeeeeeees 1-47 
1.11. PROS UNV Ga vcssx foarte ates cos Sek caval tte Saad Lovnda athe uaa 1a Soevad ave tata ade Moivag decussate boiwad Ave cuvaa ce devnag dteewssa me feted 1-48 
1.12 ANINOXC eieti dl aa Van tn ties tt eas ate ede tale in eas Aon ed Uta le atl 1-49 
1.12.1. Ladirective européenne Machines .............cccceesceceeeeeeeeeeeeeeeeeeeeeseaeeeseaeeeeaeeseeeeeseaeeesaeeeeeeeee 1-50 
112.2. “Formations ‘Sur l6S:NOrmes’...irc send acters vestienstedltens ance lates ean acai 1-51 
1.13. Solutions possibles aux exercices 1 A 8 o.....eecceecceceeeceeeeeeeeeeeceeeeeseaeeeseaeseeeeeseaeeesaeesseeeeeeees 1-52 
WAS: UEX@rCiC@ Nos a ste aae ha ualeots aetdeee eet eaet ea ualie dt aaeetre altar anette ets rete etl ee 1-53 
WAS'2. “ EXCIClOG 2 ice eee ti tag aah ave cache ela ee val eased sales aaah be teat pee t Lee 1-54 
WAS3:; HEXCICICG: Bf c ih ether eti ahd eae aveteer eet eaten vate aeetam alten adh ede eee 1-55 
VASA: -EXCrciGe: 4 vee tie aie asada eb aera eeeee eles aa eee eee 1-56 
WAS:5.- s“EX@ICICG!O isve KS ether tia ekd ate avatar tints eee t nt altel caeebts Saletan aaah tei eee 1-57 
WAS :02° --EX@rci@@: 64 niente oni el ena asian ai eee ak eit via 1-58 
WAS. SEXCICICG Tava o ether cet as ekd ate avebeet rina acer te valtet caeetots alten aah etd eee eile 1-59 
W:AS:8:; -EX@rcieG:8 riko ties Sian cleaved tha ehae ett saute eine ila tay ee alate ath meus laii 1-60 


TIA-SAFETY + Présentation des normes et des directives en vigueur 
Document de formation en version V16.00.00 1-1 


1. 


SIMATIC TIA Portal Safety Advanced 


Présentation des normes et des directives en vigueur 


1 'issue de la formation, le participant au stage 


... connaitra les étapes nécessaires pour pouvoir concevoir une machine sore. 
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els 


Cadre législatif de UE 


La directive Machines 2006/42/CE est obligatoire 
depuis le 30 décembre 2009 


Lors de l’exploitation de machines, deux grands aspects juridiques doivent rtre considérés : la 
protection des travailleurs et le marché intérieur. 


Protection des travailleurs (zone grisée) : 


L’employeur doit mettre en ceuvre les mesures de sécurité nécessaires pour la commande et 
l’exploitation des machines : 


* Eclairage suffisant 

* Aspiration 

¢ Sols antidérapants 

¢ Formation des utilisateurs 

* Equipements de sécurité tels que vétements de protection 


Ces thémes ne seront pas abordés dans le cadre de ce cours. 


Marché intérieur : 


Les machines mises en circulation sur le marché intérieur de l'Union européenne doivent 
répondre aux exigences de la directive Machines. La directive Machines actuellement en vigueur 
est la directive 2006/42/CE, qui a remplacé la précédente directive 98/37/CE. 

Cette directive est également applicable dans les Etats de Il AELE (Association Européenne de 
Libre-Echange) et la Turquie. 

La directive Machines actuelle est essentiellement axée sur les machines. Elle ne prend pas en 
compte des installations techniques comme les téléphériques ou les appareils médicaux. 


Normes harmonisées : 

Les normes harmonisées sont des normes européennes particuliéres élaborées par un 
organisme de normalisation européen (CEN, CENELEC ou ETSI) a la demande de la 
Commission européenne et de ’AELE. Elles sont rédigées dans le cadre d’un « mandat de 
normalisation » et publiées au Journal Officiel de l'Union européenne. 

Remarque importante : le respect de normes harmonisées apporte une « présomption de 
conformité » ala directive correspondante ; le constructeur de machines doit alors simplement 
démontrer qu’il a respecté les exigences des normes harmonisées. 
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1.2. Définition d’un fabricant de machines 


Est considéré comme fabricant de machines toute personne physique ou 
morale qui .. 


... est responsable de la conception et de la fabrication d’une machine visée par la directive et 

| qui commercialise cette machine en son nom. Il s’agit généralement d’un constructeur de 
machines, d’un équipementier ou encore d’un ensemblier industriel (secteur de la 
construction mécanique). 


2) ... modifie usage prévu d’une machine ou étend ses fonctions. Il peut s’agir de l’exploitant 
d'une installation industrielle ou d’un equipementier chargé de moderniser une installation 
existante. 


3 ... importe une machine d’un pays tiers et s’engage ainsi a respecter impérativement les 


obligations définies par la directive a l’intention du fabricant. Il s’agit en général d’un 
importateur. 


Le fabricant au sens des textes normatifs n’est pas uniquement celui qui fabrique la machine 
(constructeur). L’exploitant, |’6quipementier ou encore l’ensemblier industriel chargé de mettre a 
niveau une machine (ou un parc de machines) sont également considérés comme des fabricants 
dés lors qu’ils modifient la machine ou en étendent les fonctions. 


L’ajout de fonctionnalités supplémentaires a une machine ou l’augmentation de sa cadence de 
production par rapport a celle initialement prévue peuvent par ex. entrainer de nouveaux risques 
qui doivent étre pris en compte. L’importateur qui livre des machines d’Asie en Europe par 
exemple, est également considéré comme fabricant en termes de responsabilité légale et doit 
donc veiller a ce que la machine soit conforme aux législations nationales. 
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1.3: Présentation des directives en vigueur 


Directives CE 


Elles sont adoptées par la Communauté européenne et doivent étre transposées 
par les Etats membres dans la législation nationale. CE est un véritable 
passeport technique (obligatoire pour |’exportation au sein de |’Union 
européenne). 


Exemples de directives importantes 
* Directive Machines 
* Directive Basse tension 
* Directive CEM 
* Directive Equipements sous pression 
¢ Directive Jouets 
* etc. 


CE 


Symbole de la libre circulation au sein de l'Union européenne ; ancienne abréviation de 
Communauté Européenne, Comunidad Europea, Comunidade Europeia et Comunita Europea. 
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1.4. Choix de la ou des directives 


Une directive s’applique a un certain produit lorsque... 


le produit s’inscrit formellement dans le domaine d’application de cette directive ; 


le produit présente des risques décrits dans les exigences essentielles de cette 
directive ; 

le fait de savoir sous quelle directive une norme produit est reférencée en tant que 
norme harmonisée donne des indications sur l’affectation a une directive ; 


« les réglementations sectorielles spécifiques prévalent sur les réglementations 
générales. 


eneral Product Satety Directive 
GPSD 2001/95/EC 


Consumer goods which 
do not fall under a 
specific directive 


Low voltage 
Pressure 
equipment 
Toy safety 
Cableways 
Measuring 
instruments 
Further 
Directives 


> 
iS 

(3) 
= 
is 

o 

iv} 
= 


Les directives reposent sur un concept global : 


¢ Grace aux directives CE, la libre circulation des marchandises est garantie au sein de 
Espace économique européen. L’objectif est de réduire tous les obstacles techniques et 
commerciaux qui découlent de la diversité des exigences techniques des Etats membres 
relatives aux produits techniques et a leur utilisation. 


* Les directives CE ne contiennent que des objectifs de sécurité généraux et définissent les 
exigences essentielles en matiére de sécurité. 


« Les détails techniques peuvent étre définis dans des normes par les organismes de 
normalisation mandatés par la Commission européenne (CEN, CENELEC). Ces normes, qui 
doivent étre appliquées de la méme manieére par tous les Etats membres comme des normes 
nationales, figurent dans le Journal officiel de la CE et sont harmonisées sous une directive 
particuliére. 


¢ Certaines normes ne sont pas obligatoires. Le respect des normes harmonisées confére 
toutefois une « présomption de conformité » aux exigences essentielles de la directive 
correspondante. 
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15. Normes de sécurité internationales 


Chie NSI, CSA 


Ame vss Nenenm Stewaeds trate 


CEI 62061, ISO 13849 CG ilov 9a 


Il convient de respecter les normes et prescriptions en vigueur sur le lieu 
d’implantation de la machine ou de I’installation. 


UL 
Underwriters Laboratories : organisme de certification pour la sécurité des produits aux Etats- 
Unis et au Canada 

ANSI 
American National Standards Institute : organisme américain pour la normalisation des procédés 
industriels 

CSA 
Canadian Standards Association (Association canadienne de normalisation en frangais) : délivre 
une marque de contréle produit qui atteste de la conformité aux normes ISO, ANSI, ULC 

CEl 
Commission Electrotechnique Internationale (International Electrotechnical Commission - IEC en 
anglais) : organisme de normalisation international chargé des domaines de |’électrotechnique et 
de I’électronique. Certaines de ses normes sont développées conjointement avec I’'ISO. Son 
siége est a Genéve. 

ISO 
Organisation internationale de normalisation (International Organization for Standardization en 
anglais) : association internationale d’organismes de normalisation 

EN 
Normes européennes 

JIS 


Japanese Industrial Standard : norme industrielle japonaise (comparable a NF ou DIN) 
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C-Tick 
Marquage de |’ACA (Australian Communications Authority), plus ou moins comparable au 
marquage CE 
A-Tick 
Marquage attestant la conformité aux Australian Telecommunication Standards, comparable a la 
directive CEM 
CEN 
Comité européen de normalisation, Bruxelles 
CENELEC 
Comité européen de normalisation électrotechnique, Bruxelles (> EN = Normes européennes) 
AFNOR 
Association frangaise de normalisation, La Plaine Saint-Denis 
DIN 
Deutsches Institut fur Normung e.V. (institut allemand de normalisation), Berlin 
VDE 


Verband der Elektrotechnik, Elektronik und Informationstechnik e.V. (fédération allemande des 
industries de |’électrotechnique, de |’électronique et de l’ingénierie de l'information), Francfort-sur- 
le-Main 


Exemples de normes : 


« NF EN ISO 13849-1 (norme francaise homologuée transposant une norme européenne 
transposant elle-méme une norme internationale ISO) 


« DIN EN ISO 13849-1 (idem pour la norme allemande) 
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1.5.1. Normes harmonisées 


Utilisation Non-utilisation 
de normes harmonisées de normes harmonisées 


Présomption de conformité Les objectifs de sécurité de la(des) 
de la part des autorités directive(s) doivent étre respectés 


La charge de la preuve La charge de la preuve 
incombe aux autorités incombe au fabricant 


Utilisez des normes harmonisées partout 
ou cela est possible 


Définir les normes applicables 


Normes harmonisées 


Leur application est une démarche volontaire. 


Elles sont publiées au Journal officiel de l'Union européenne sous la référence d’au moins 
une directive. 


Elles sont reprises sans modifications en tant que normes nationales par tous les Etats 
membres. 


Elles reflétent l'état le plus récent de la technique. 


Elles définissent des modalités concrétes pour la mise en ceuvre des objectifs de sécurité 
formulés par les directives. 


Elles simplifient les procédures pour prouver la conformité. 


Elles ont un domaine de validité bien défini décrivant utilisation et environnement prévus. 
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1.5.2. La hiérarchie des normes de sécurité 


Les normes de sécurité se divisent en 3 groupes hiérarchisés : 


Normes 
fondamentales 


Normes 
génériques 


Normes machines 
spécifiques 


Prescriptions de sécurité pour une catégorie donnée de machines (par 
presses). Lorsqu’il existe une norme spécifique, elle doit rtre appliquée. 


Normes 
de type A par ex. : 


Principes de conception 
et notions fondamentales 
pour les machines 


par ex. Normes 
de type B 


Normes B1 Normes B2 5 
Aspects particuliers|Dispositifs soéciaux 
de la sécurité de sécurité 


Normes 
de type C 


Normes fondamentales de sécurité / Normes de type A 


Les normes fondamentales s’appliquent a toutes les machines. Elles fixent le cadre essentiel 
pour les normes B et C. Elles ne sont prises en compte par le fabricant qu’en l’absence de 
normes B/C. Elles définissent les notions fondamentales, les principes de conception et les 
aspects généraux applicables aux machines. 


Normes génériques de sécurité / Normes de type B 


Elles traitent d’un aspect de la sécurité ou d’un moyen de protection valable pour une large 
gamme de machines. Elles se répartissent en deux catégories : 


Normes de type B1 : traitent d’aspects particuliers de la sécurité (par ex. principes ergonomiques, 
distances de sécurité, bruit, température de surface...) ; non spécifiques aux appareils. 


Normes de type B2 : traitent des moyens de protection (par ex. arrrts d’urgence, commandes 
bimanuelles, dispositifs de protection...) ; spécifiques aux appareils. 


Normes de sécurité par catégorie de machines / Normes de type C 


Elles traitent des exigences de sécurité détaillées s’appliquant a une machine particuliére ou a un 
groupe de machines particulier (par ex. machines-outils, machines pour le travail du bois...) 
couvrent les exigences spécifiques d’une machine pouvant s’écarter des spécifications des 
normes A et B, elles ont la plus haute priorité pour le fabricant de la machine. 
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1.6. Exemple de machine « Etiqueteuse » 


TIA Safety 


26/08/2019 12:13 


Exemple de machine « Etiqueteuse » 


La machine étiquette des piéces a l'aide d’une presse a vis (M1). Les pieces sont amenées via 
un dispositif de levage hydraulique (V1 & V2). Une fois étiquetée, la piece est Evacuée a l’aide 
d’un robot de préhension (M2). Le processus d’étiquetage est surveillé a partir d’un poste de 
commande. Chaque étape du processus (alimentation, étiquetage et évacuation) dispose d’un 
mode de fonctionnement propre qui peut étre piloté séparément. 


Alimentation: 

« Automatique 

¢ Stop 

Etiqueteuse : 

« Automatique 

« Stop 

Evacuation : 

« Automatique 

¢ Stop 

« Maintenance (Mode réglage) 
Poste de commande : 

* Automatique (tous les sous-systemes) 


Stop (tous les sous-systémes) 


TIA-SAFETY + Présentation des normes et des directives en vigueur 
Document de formation en version V16.00.00 1-11 


SIMATIC TIA Portal Safety Advanced 


1.7. Mise en ceuvre de la directive Machines + Application a une 
étiqueteuse 


Les étapes nécessaires pour concevoir une machine sdre peuvent étre 
représentées sous la forme d’une chaine de processus. 


Appréciation Réduction Attestation 
du risque du risque de conformité 
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1.8. Processus d’appréciation du risque selon EN ISO 12100 


5 


Appreciation du risque 


Etape 1 §Déterminer les limites de la machine 


Etape 2 [ldentifier les phénoménes dangereux 
Etape 3 Estimer le risque 
Etape 4 Evaluer le risque 


L’appréciation du risque est l'ensemble du processus 
comprenant l’analyse du risque et l’évaluation du risque. 


Analyse du risque 
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Etape 1 : Déterminer les limites de la machine 


Appréciation du risque 


Déterminer les limites de la machine selon EN ISO 12100 chapitre 5.3 


Etape 1 §Déterminer les limites de la machine 


Etape 2 Identifier les phénoménes dangereux 
Etape 3 Estimer le risque 
Etape 4 Evaluer le risque 


Limites dans l’espace 
e Limites d'utilisation 
¢ Interface entre homme et machine 


¢ Alimentation en énergie 


Limites dans le temps 
° Durée de vie 
° Intervalles de maintenance 


« Phases de service 


Groupes d’utilisateurs 
e Formation, expérience, aptitudes 


¢ Autres personnes intervenant sur la machine 


Limites dans l’espace 


* Caractéristiques comme les dimensions et la masse de la machine. 


¢ Postes de travail prévus et espaces de déplacement. 


¢ Interfaces homme machine. 


¢ Interfaces d’alimentation en énergie. 


¢ Interfaces avec les machines en amont et en aval si la machine est congue pour étre 
exploitée en association avec d’autres machines. 


Limites dans le temps 
¢ Durée de vie prévue. 


¢ Nombre total de rotations. 


« Nombre de cycles de manceuvres. 


* Opérations de remplissage et de déchargement. 


¢ Cycles de travail ou heures de fonctionnement, etc. 


Remarque : 


Ces indications sont nécessaires pour la détermination des mesures et des intervalles de 


vérification, de maintenance et d’entretien. 
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1.8.1.1. Limites de la machine « Etiqueteuse » 


Appreciation du risque 
Extrait du descriptif de la machine (exemple) : 
Usage prévu 
* Machine destinée a l’étiquetage de paquets de 500 x 500 mm max. et 10 kg max. 
¢ Alimentation en piéces via un dispositif de levage hydraulique 
¢ Evacuation via un rail horizontal 
Limites d'utilisation 
» Raccordement : 400 V 3~ 50 Hz 
¢ Installation a l’intérieur (IP54) 
° Plage de température : -15 a +50° 
° Etiqueteuse : 50 Nm max. 
» Dispositif de levage : 10 kg max. 


e Robot : rayon d’action 2 x 2m 


Groupes d’utilisateurs 
¢ Personnel qualifié uniquement, 
pas de non-professionnels ns Stiquetence 
* Apprentis uniquement sous la surveillance case Sey Recrees- arg 
Staten © OK ox 


de personnes qualifiées 
Limites dans le temps 


150 000 heures de fonctionnement 


Ftat paste de contrite @ OK 


Limites dans l’espace 
° Les aides au chargement ne font pas partie de la machine 
° Place nécessaire aux personnes travaillant sur la machine 


Limites d'utilisation 
« Usage approprié 
* Mauvais usage raisonnablement prévisible 
¢ Caractéristiques et quantités de matiéres premiéres, consommables ou piéces 
« Parameétres de fonctionnement tels que pression, température, vitesse, puissance, etc. 
¢« Domaines d'utilisation prévus ou prévisibles (industriels, domestique, etc.) 


* Conditions environnementales 


Groupes d’utilisateurs 
¢ Utilisateurs non professionnels 
* Opérateurs 
¢« Personnel de maintenance 


« Régleurs 


Remarque : 


Un certain niveau de qualification ne peut en aucun cas justifier une éventuelle réduction du 
niveau de sécurité technique. 


Note : 


Il n’est pas possible de déterminer toutes les limites de la machine dés la premiére appréciation. 
La question de la durée de vie prévisible des piéces liées a la sécurité, par exemple, ne peut étre 
posée que lorsque les mesures liées a leur mise en ceuvre ont été déterminées. Les limites de la 
machine doivent étre indiquées dans la notice d’instructions. Pour éviter un mauvais usage 
prévisible, il est recommandé d’utiliser des formulations d’exclusion lorsqu’aucune mesure de 
prévention technique ne peut étre prise. 
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1.8.2.  Etape 2: Identifier les phénomeénes dangereux 


 Appréciation du risque 
Identification systématique des situations et/ou phénoménes dangereux durant toutes 
les phases du cycle de vie et dans tous les modes de fonctionnement de la machine : 


Etape 1 Déterminer les limites de la machine » Assemblage 
¢ Transport 
Identifier les phénoménes dangereux ¢ Installation 
° Mise en service 
Etape 3 Estimer le risque * Utilisation 
| e Mise hors service, démontage 
Etape 4 Evaluer le risque + Mise au rebut 


Identifiez systematiquement tous les dangers raisonnablement 
prévisibles a toutes les phases du cycle de vie et dans tous les 


modes de fonctionnement de la machine. 
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1.8.2.1. Phénoménes dangereux possibles 


P Appreciation du risque 


Phénoménes dangereux possibles selon EN ISO 12100 


Force de Rappro- 
Coupure Chute Mouvement gravité chement Rotation 


¢ Coupure ¢ Ecrasement ¢ Ecrasement ¢ Ecrasement ¢ Ecrasement ¢ Entrainement 
* Sectionne- ¢ Choc * Choc * Choc * Choc ¢ Frottement 
ment ¢ Cisaillement | * Compression ¢ Abrasion 


¢ Ecrasement 


Lors de l’identification des phénoménes dangereux possibles, vous devez toujours considérer les 


différentes phases du cycle de vie de la machine et ses différents modes de fonctionnement. 
Exemple : lors de la phase Fabrication en série, les phénoménes dangereux peuvent étre 
différents dans les modes Manuel et Automatique, car la machine est exploitée a des vitesses 
différentes en fonction du mode de fonctionnement. 
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1.8.2.2. Exercice 1 : Identifier les phénoménes dangereux sur la machine 


Appreciation du risque 


TIA Safety 


Enoncé 


Identifier les phénoménes dangereux de |’étiqueteuse pour les modes de fonctionnement 
automatique et maintenance. 


Réalisation 


Discuter des phénoménes dangereux en groupe, notez-les (iPad/bloc-notes). Puis partager vos 
résultats lors d’une discussion commune. 
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1.8.3.  Etape 3 : Estimer le risque 


_ 


Appréciation du risque 


Evaluation approfondie de la probabilité d’occurrence et de la gravité d’un 
dommage résultant des phénomeénes dangereux déterminés : 


Etape 1 Déterminer les limites de la machine * Le risque correspondant est évalué pour chaque 
| phénoméne dangereux. 
Etape 2 _ Identifier les phénoménes dangereux » La machine est considérée sans prendre en 
| compte les mesures de prévention. 
Etape 3 Estimer le risque Le [eeu de la premiére evaluation d'un 
phénoméne dangereux est le risque initial. 
Etape 4 Evaluer le risque 
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1.8.3.1. Risque 


Appreciation du risque 


Le risque 


est la combinaison de 


la probabilité 
d’occurrence 
du dommage 


la gravité 
du dommage 
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1.8.3.2. Gravité du dommage 


Appreciation du risque 


Gravité du dommage pouvant résulter du 
phénoméne dangereux 


° Réversible, premiers soins 


Gravité du » Réversible, traitement médical nécessaire 
dommage ° Membres fracturés, perte de doigts 


¢ Irréversible, mort, perte d’un ceil ou d’un bras 


Lors de l’évaluation de la gravité du dommage, vous devez établir une distinction fondamentale 
entre dommages réversibles et dommages irréversibles. 
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1.8.3.3. Probabilité d’occurrence du dommage 


_ 


Appreciation du risque 


Fréquence et durée d’exposition au phénoméne 
dangereux 


¢ Besoin d’accés a la zone dangereuse 
Probabilité ° Nature de l’accés et durée d’exposition 

d’occurrence » Nombre de personnes, fréquence d’accés 

du dom mage Probabilité d’occurrence du phénoméne dangereux 

° faible 

* moyenne 


° forte 


Possibilité d’éviter le phénoméne dangereux ou de 
limiter le dommage 


e Rapidité d’apparition : soudaine, rapide ou lente 
* Qualification des personnes 

¢ Conscience du risque 

¢ Action réflexe, expérience pratique 

° Agilité, possibilité de fuite 


Trois facteurs influencent considérablement la probabilité d’occurrence d’un dommage : 
¢ La fréquence et la durée d’exposition au phénoméne dangereux 
¢ La probabilité d’occurrence du phénoméne dangereux 


¢ La possibilité d’éviter le phénoméne dangereux ou de limiter le dommage 
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1.8.4. Etape 4 : Evaluer le risque 


i 


Appréciation du risque | 


La question centrale est la suivante : le risque (initial) engendré par chaque zone 
dangereuse est-il acceptable ou faut-il prendre des mesures ? 


Etape 1 Déterminer les limites de la machine 


f 


Etape 2 Identifier les phénoménes dangereux 


i 


Etape 3 Estimer le risque 


Etape 4 Evaluer le risque 
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1.8.4.1. Exercice 2 : Evaluer le risque (dispositif de levage) 


Evaluation du risque 


Probabiits occurrence 


Levage > 
Ecrasement, 
Compression 


Probabilité d’occurrence 


A B Cc D 
Gravité du dommage Trés probable Probable Improbable Trés 
improbable 


Irréversible : 


4 - Mort 
- P erte d’un ceil 
- P erte d’un bras 
3 JMéemrbre,, fracturés 
- Perte de doigts 


2 reversible : 
Traitement médical 


1 Reversible ‘premiers soins 


Enoncé 


Réaliser l’évaluation du risque pour le phénoméne dangereux suivant : 
Pincement ou écrasement du bras ou de la main par le dispositif de levage 


Mise en ceuvre 


Réaliser |’évaluation de l'ampleur du dommage au niveau de votre groupe (cf. exercice 1) a l’aide 
du graphe des risques. Reporter cette évaluation au niveau du graphe. 
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1.8.4.2. Exercice 3 : Evaluer le risque (tampon pour étiquetage) 


valuation du risque 


Probabilité d’occurrence 


A B C 
Trés probable —_— Probable Improbable 


D 


Gravité du dommage 


Irréversible : 
4 - Mort 
- P erte d’un ceil 
-P erte d’un bras 


le’ 


Presse > Ecrasement, 


3 Meemrbre s fracturés 
- Perte de doigts 


2 Reversible : 
Traitement médical 


1 Reversible ‘premiers soins 


Enoncé 


Réaliser |’évaluation du risque pour le phénoméne dangereux suivant : 
Pincement ou sectionnement de la main ou du doigt par le tampon d’étiquetage 


Mise en ceuvre 


Réaliser l’6évaluation de l'ampleur du dommage au niveau de votre groupe (cf. exercice 1) a l'aide 
du graphe des risques. Reporter cette évaluation au niveau du graphe. 
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1.8.4.3. Exercice 4 : Evaluer le risque (Robot d’évacuation) 


oo — 


aluation au risque 


Transport > 


Probabite occurrence Bae 


pincement 


Probabilité d’occurrence 


A B Cc D 
Gravité du dommage Trés probable Probable Improbable Tres 
improbable 


Irréversible : 
4 - Mort 
- P erte d’un ceil 
- P erte d’un bras 


le’ 
3 fMeemrbre s fracturés 
- Perte de doigts 


2 Reversible ‘tyaitement méd 


1 Reversible ‘premiers soins 


Enoncé 

Réaliser |’évaluation du risque pour le phénoméne dangereux suivant : 

Poussée ou pincement de la téte ou du torse lors du déchargement par évacuation 
Mise en ceuvre 


Réaliser l’6valuation de l'ampleur du dommage au niveau de votre groupe (cf. exercice 1) a l'aide 
du graphe des risques. Reporter cette évaluation au niveau du graphe. 
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1.8.5. Résumé 


Appréciation du risque 


* La machine et les risques qu’elle engendre ont 
eté décrits et évalués. 


° Le résultat de l’appréciation du risque constitue 
le fondement du concept de sécurité pour la 
réduction du risque. 


* Une appréciation correcte du risque permet de 
contester tout reproche de négligence en cas de 
dommage. 


Le risque établi pour la machine de |’exemple vous permet de définir une valeur de risque dans le 
graphique de risques. En mettant en ceuvre les mesures appropriées, vous pourrez déplacer le 
risque de la zone rouge vers la zone verte optimale. 
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Réduction du risque selon EN ISO 12100 


Reduction du risque 


DEPART 


Conception sure 


Risque réduit convenablement ? 


Mesures techniques 


Risque réduit convenablement ? 
NON 


ation des utilisateurs sur les risques résiduels 


OUI 
Risque réduit convenablement ? 


NON 


Nouvelle appréciation du risque FIN 


1-28 


Pour définir et évaluer les mesures de sécurité, utilisez la méthode a trois étapes décrite par la 
norme harmonisée EN ISO 12100. Cette méthode peut rtre visualisée a l'aide d’un graphe de 
décision. 

Commencez toujours par définir des mesures de sécurité constructives. Si ces mesures 
conduisent déja a un risque résiduel acceptable, aucune autre mesure n’est nécessaire. 

Ces mesures purement constructives peuvent toutefois étre contournées par le personnel 
d’exploitation et ne pas conduire a elles seules a un risque résiduel acceptable. Des mesures de 
sécurité techniques complémentaires s’imposent alors. 

Si des risques demeurent aprés la mise en ceuvre de mesures de sécurité techniques, ils 
peuvent généralement étre réduits par une information des utilisateurs et des instructions 
d'utilisation. Exemples : port de vétements de protection, respect de distances de sécurité, 
opérations a effectuer dans un ordre prescrit, etc. 
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1.9.1. | Etape 1: Conception sdre 


sduction du risque 


La conception sire de la machine est la priorité la plus importante lors 
de la réduction des risques ! 


° Intégration de la sécurité dés 
la conception de la machine 


° Exploitation et maintenance sdre par 
mesures constructives 


° Possibilité @évidente de réduction de la 
gravité du dommage 


e Les informations relatives a une 
construction sire se trouvent sous 
EN ISO 12100 Para. 6.2 
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1.9.1.1. Exercice 5 : Mesures pour une conception sire 


Reduction du risque 


Gravité du dommage B C ome . 
Trés probable Probable Improbable Trés improbable 


Irréversible : 
4 -Mort 4A 
- P erte d’un ceil 
- P erte d’un bras (Transport) 


Irréversible : 3A 3B 


3° Membres fracturés 
- P erte de doigts (Etiqueteuse) (Dispositif de levage) 


Enoncé 


Trouver les mesures constructives adéquates. 


Mise en ceuvre 


Réaliser la discussion en groupe et noter les mesures (iPad ou bloc-notes). Discuter les mesures et 
réaliser la synthése commune. 
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1.9.2.  Etape 2 : Mesures de protection techniques 


Reduction du risque 


Construction sire 


Risque réeduit convenabiement 7 


Mesures techniques 


Si la conception de la machine est sdre, aucune autre mesure n’est nécessaire selon la méthode a 
trois étapes. 


Dans notre exemple toutefois, la conception n’offre pas encore une sécurité suffisante. Des 
mesures techniques supplémentaires doivent donc rtre mises en ceuvre. 


Exemple: 
¢ Barriére immateérielle pour surveiller les personnes qui s’approchent de la zone dangereuse. 
¢ Tapis de sécurité pour localisation des personnes. 
¢ Interrupteur de sécurité avec verrouillage électromagnétique surveillé. 
* Commande bimanuelle et a pédale. 


« Les commutateurs d’assentiment autorisent l’'accés sous certaines conditions qui 
représentent un risque moins important. 


* Mesure de sécurité complémentaires, par ex. arrrt d‘urgence 
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1.9.2.1. Exercice 6 : Mesures de protection techniques possibles 


Reduction du risque 


Enoncé 
Trouver les mesures de protection techniques adéquates. 


Mise en ceuvre 


Réaliser la discussion en groupe et noter les mesures (iPad ou bloc-notes). Discuter les mesures et 
réaliser la synthése commune. 
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1.9.2.2. Exercice 7 : Evaluation des mesures techniques 


Réduction du risque 


Evaluation des mesures techniques 


Probabilité d’occurrence 


A B Cc D 
Trés probable Probable Improbable Trés improbable 


Irréversible : 

- Mort 4C 

- P erte d’un ceil 

- P erte d’un bras (Transport) 


Irréversible : 
- Membres fracturés 
- P erte de doigts 


Gravité du dommage 


(Etiqueteuse) 


Réversible : 
Traitement 
médical 


{ Reversible . 
Premiers soins 


Risques résiduels actuels : 
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1.9.2.3. L’architecture des fonctions de sécurité définissent les gradations du risque par des 
Niveaux de sécurité 


Reduction du risque 


Les niveaux de sécurité définissent la qualité des mesures techniques de 
protection 


e L'importance du risque détermine le niveau de sécurité requis 


* La définition du risque et des niveaux de sécurité correspondants varient d’une norme 
a l’autre 


En matiére de sécurité fonctionnelle (sécurité des machines), il existe 2 normes 
qui définissent des niveaux de sécurité différents 


° EN ISO 13849-1 Niveau de performance PLaaPLe 


» CE! 62061 Niveau d’intégrité de sécurité SIL 1 a SIL 3 


Niveaux de sécurité selon l’importance du risque 


Le niveau de sécurité doit rtre défini en fonction de l’importance du risque. Pour ce faire, deux 
normes différentes peuvent étre appliquées. 
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1.9.2.4. Exigences selon EN ISO 13849-1 


Reduction du risque 


Exigences en matiére de réduction du risque selon EN ISO 13849-1 


a Fréquence / Possibilité 
Gravité de la blessure etna Pa er 
Durée d’exposition d’évitement 


Blessure réversible 


Départ 


Blessure inéversible Fréquente a continue / Rarement 
longue possible 
Rare a assez fréquente / Possible Faible contribution & 


courte la réduction du risque 


— iE 


“1 
=~ 


Forte contribution a la 
réduction du risque 


Réduction du PL sur la base d’une probabilité d’occurrence réduite du phénoméne dangereux 
(par. A.2.3.2) 


L’annexe A a fait l’objet de nombreuses modifications. 


Elle commence par souligner de maniére plus explicite le caractére informatif de la procédure de 
détermination du PLr décrite dans l’Annexe A : celle-ci n’est pas obligatoire et ne représente 
qu’une évaluation de la réduction du risque. Les normes de type C peuvent tout a fait s’écarter, 
dans leurs définitions du PLr, du PLr qui pourrait résulter du graphe de risques en raison des 
compromis normatifs définis par les groupes d’experts compte tenu du fait que certaines causes 
peuvent ne pas étre couvertes par les paramétres du graphe de risques. 


La remarque concernant la distinction entre F1 et F2 est désormais formulée comme suit : 


¢ Enlabsence d’autre justification, F2 doit étre choisi lorsque la fréquence est supérieure a une 
fois toutes les 15 minutes. 


¢ F1 peut rtre choisi lorsque la durée d’exposition totale n’excéde pas 1/20 de la durée totale 
de service et que la fréquence n’est pas supérieure a une fois toutes les 15 minutes. 


A cela s’ajoute désormais la probabilité d’apparition d’un événement dangereux. Lorsqu’elle est 
évaluée comme faible, le PLr peut rtre réduit d’un niveau. Une réduction supplémentaire du PLr a 
nest pas prévue. 
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1.9.2.5. Exigences selon EN 62061 


eduction du risque 


Exigences en matiére de réduction du risque selon EN 62061 


Classe Cl = Fr + Pr + Av 


Sévérité du dommage Se 
Irréversible : mort, perte d’un ceil ou d’un bras 


Réversible : suivi médical 


4 
Irréversible : permanent, perte de doigts l3 
[2 

1 


Réversible : premiers soins 


Fréquence et/ou Probabilité Probabilité 


< 1 heure | trés forte | impossible 
> 1 heure a < 11 jour | probable | + possible 

> 1 jour a $ 2 semaines | possible | probable 
> 2 semaines a < 1 an | rare | 

>1an négligeable 
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1.9.2.6. Signification des niveaux de sécurité 


Reduction du risque 


Les niveaux de sécurité SIL ou PL déterminent le niveau de fiabilité requis d’un 
systéme de sécurité : 


Niveau de Fiabilité requise Mesures d’amélioration de 
sécurité du systeme de sécurité la fiabilité 
SIL (en défaillances/heure) 


10°a 10% Utilisation de « composants 


3x10 a 10° Bp ronves ® 
Essais de fonctionnement réguliers 
10° a 3x106 Détection automatique des 
x défaillances 
7 -6 
at Conception redondante 
10° a 107 Redondance + détection de défauts 


En cas de mise en ceuvre correcte d’un systéme de sécurité, sa probabilité de 
défaillance équivaut a la probabilité d’apparition d’un phénomeéne dangereux. . Les 
normes EN 62061 et EN ISO 13849-1 définissent ainsi un risque quantitatif et 
vont donc plus loin que la norme EN 954-1. 


Les deux évaluations donnent un résultat indiquant un taux de défaillance qui permet d’établir 
clairement le niveau de risque encouru. Le niveau de probabilité d’apparition d’un danger peut 
ainsi étre défini. 

Ce taux peut étre calculé selon les deux normes a partir des paramétres spécifiques aux 


appareils. Il permet d’indiquer si la mise en ceuvre de la fonction de sécurité est suffisante pour 
atteindre le niveau de sécurité requis. 


Le PL et le SIL peuvent étre comparés, mais ne sont pas équivalents. 


Sans mesures complémentaires, il n’est pas possible d’atteindre le niveau de certification 
supérieur (pour passer par ex. de SIL2 a SIL3). 


Les normes EN 62061 et EN ISO 13849-1 considérent les fonctions de sécurité comme suit : 


« Une fonction de sécurité définie peut étre affectée a un risque particulier (engendré par la 
machine) 


¢ Le niveau de sécurité requis peut étre déterminé pour une fonction de sécurité définie 


Une fonction de sécurité doit rtre définie pour chaque danger n’ayant pas pu rtre éliminé au 
moyen de mesures constructives. Celle-ci peut étre réalisée a l'aide d’un systéme de sécurité. 
Les systemes de sécurité doivent offrir des performances correspondant au danger considéré et 
au risque évalué. 


* EN 62061 : Niveau d’intégrité de sécurité (SIL) 
« EN ISO 13849 : Niveau de performance (PL) 
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1.9.2.7. Définition du niveau de sécurité 


Reduction au risque 


Exigences relatives aux niveaux de sécurité : probabilité de défaillance 


Les normes EN 62061 et EN ISO 13849-1 définissent les exigences en matiére de probabilité de 
défaillance maximale admissible de la fonction de sécurité : 


* Probabilité d'une défaillance dangereuse par heure PFHp 


* Plus le niveau de sécurité est élevé, plus la PFHp doit étre faible 


104 

10° > a 
Pas plus d'1 défaillance dangereuse de la fonction de 

3*10* sécurité en 10 ans 

10% 
Pas plus d'1 défaillance dangereuse de la fonction de 
sécurité en 100 ans 

-7 

10 Pas plus d'1 défaillance dangereuse de la fonction de 
sécurité en 1000 ans 

10° 


PFH, diminue 


Grandeurs statistiques 


Les niveaux de sécurité calculés et atteints, qui représentent les « défaillances dangereuses pour 
une durée donnée », sont toujours des grandeurs statistiques. En d’autres termes, si un niveau de 
sécurité SIL 1 atteint par ex. une valeur de 2,7x10°, cela signifie théoriquement que 1,1826 
défaillances dangereuses sont susceptibles de se produire dans les 5 ans. Cela ne veut pas dire 
qu’une telle défaillance aura forcément lieu apres ce délai de 5 ans ; de méme, on ne peut étre 
certain que « rien ne se passera » sur une période de 4 ans. 


Si une défaillance se produit, cela ne signifie pas non plus que plus aucune défaillance n’aura 
lieu au cours des 4 années suivantes ; il est également possible (et probable) qu’aucune 
défaillance ne se produise pendant 12 ans. 
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1.9.2.8. Une machine « sire » - Composants de sécurité certifiés 


pduction du risque 


L’utilisation de composants de sécurité certifiés constitue une mesure efficace pour 
atteindre un niveau de risque acceptable: - 


Avantages: 
Perte de temps minimale pour le 
dimensionnement des fonctions 
de sécurité 
Economie de codts et d’espace 
Facilitent les essais et contréles i 
de réception wes paseaneranpseshanennepentoeeesosness —_ 


S 


Riveiniand 


Les composants de sécurité doivent étre testés suivants les normes appropriées. 


Les essais et contréles de réception sont assurés par le TUV, BG / IFA pour 
Allemagne par exemple ou par des organismes de contréles pour la France. 


Les composants de sécurité certifiés facilitent les contréles de réception. 
Les entrainements Siemens sont certifiés, par ex. : G120 (SIL2), S120 (SIL2, PL d) 


D’autres composants de détection et de traitement (logique) disposent également de certificats. 
Les composants certifiés ne garantissent pas qu’un PL ou un SIL requis sera effectivement 
atteint. Les composants des sous-systemes peuvent le garantir en cas de connexion appropriée. 
Ce nest en revanche pas garanti avec l’interaction DETECTION-EVALUATION-REACTION. 

En d’autres termes, I’utilisation 


« D’un capteur SIL3 
¢ D’une logique SIL3 
¢« D’un actionneur SIL3 


Ne signifie pas que la fonction de sécurité va atteindre automatiquement le niveau SIL3. 
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1.9.2.9. Principe des systemes de sécurité 


Reduction du risque 


Un systéme de sécurité est toujours constitué de composants destinés a : 


Détection Evaluation du signal Réaction 
Commandes, mode de Identification de la ow Exécution de la 
fonctionnement, état de situation dangereuse réaction appropriée 


la machine et des et détermination de la 
i iti rotection réaction appropriée 


Contacteurs, indicateurs, 
variateurs de vitesse... 


Boutons-poussoirs et 
capteurs 


Trois sous-systemes : détection, évaluation et réaction 


Détection 
Elle peut 6tre divisée en deux catégories : les systemes de commande (poste de commande 
bimanuel, bouton poussoir d’assentiment...) et les appareils de commutation (interrupteurs de 
position, capteur optique...). 

Evaluation 
Rassemble les blocs logiques de sécurité (3SK) et les automates avec composants périphériques 
(DI, DQ, et systemes de bus) ; c’est a ce niveau que s’opére la liaison logique entre la détection 
et la réaction. 

Réaction 


Les actionneurs arrétent les mouvements dangereux. II peut s’agir de contacteurs, de variateurs 
de vitesse, vannes etc. 
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1.9.2.10. Exigences auxquelles doivent répondre les fonctions de sécurité de |’étiqueteuse 


Réduction du risque 


Dispositif de levage Etiqueteuse Robot Poste de commande 


Arrrt d’urgence Commande bimanuelle Surveillance porte Arrét d’urgence 


Arrrt d’urgence Arrrt d’urgence 


aA Fréquence / Possibilité 
Gravité de la blessure S B purée d'exposition F 8 d’évitement 


Blessure irréversible SY Fréquente a continue / longue '=2  Rarement possible (7 


Blessure réversible Rare a assez fréquente / courte Possible 
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1.9.2.11. Vérification des fonctions de sécurité 


La vérification des fonctions de sécurité 
est une obligation 
° Prescrite par les normes 

EN ISO 13849 et EN 62061 


« Le concept de sécurité doit rtre évalué a l'aide 
d’un calcul de probabilité de défaillance et 
documenté 


¢ Evaluation possible a l’aide de |’outil SET 
(Safety Evaluation Tool) 

° Utilisation gratuite de l’outil en ligne : 
www.siemens.de/safety-evaluation-tool 


Vos fonctions de sécurité vous permettent-elles d’atteindre le niveau de sécurité déterminé ? Le 
meilleur moyen de le vérifier est d’utiliser l’outil gratuit SET (Safety Evaluation Tool) de Siemens. 


Pour plus d’information, voir www.siemens.de/safety-evaluation-tool. 
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1.9.3.  Etape 3 : Information des utilisateurs sur les risques résiduels 


Réduction du risque 


Construction stre 


Mesures techniques 
Risque réduit convenablement ? 


ation des utilisateurs sur les risques résiduels 


Nouvelle appréciation du risque 


Dans notre exemple de machine, les mesures de sécurité supplémentaires offrent suffisamment 
de sécurité pour rendre le risque résiduel acceptable. Vous n’avez donc aucune mesure 
technique supplémentaire a mettre en ceuvre. 


Si les mesures techniques ne permettaient pas d’atteindre un niveau de risque résiduel 
acceptable, il faudrait informer les utilisateurs des risques résiduels conformément a la méthode 
en 3 étapes. 
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1.9.4. Résumé 


Réduction du risque 


* Les mesures constructives et techniques 
mises en ceuvre ont minimisé le risque avec 
une efficacité telle qu’aucune mesure 
technique supplémentaire n’est nécessaire. 


° L’utilisation de techniques conformes a |’état 
de l’art actuel garantit la sécurité juridique. 


* Si des risques subsistent, il est nécessaire 
d’informer les utilisateurs, par ex. a l'aide 
d’avertissements appropriés et de formations. 
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1.10. Attestation de conformité 


Attestation de contormite 


Le constructeur élabore le dossier technique attestant la 
conformité de sa machine. La directive Machines, Annexe VII, 
stipule quel doit étre le contenu du dossier technique. 

La documentation doit notamment comprendre : 

« ’évaluation des risques 


* la documentation relative au projet avec cahier des charges, plan 
de sécurité, plan de vérification, plan de validation 


* la documentation relative au développement avec plans de 
contréle et rapports d’essais 


¢ les manuels 


La documentation est essentielle pour établir les 
responsabilites en cas de dommages corporels. 


TIA-SAFETY + Présentation des normes et des directives en vigueur 
Document de formation en version V16.00.00 1-45 


SIMATIC TIA Portal Safety Advanced 


1.10.1. Evaluation de la conformité 


Attestation de conformité 


Pour attester la conformité de sa machine avec les dispositions de la ou 
des directives applicables, le constructeur ou son mandataire réalise une 
procédure d’évaluation de la conformite. 


Procédures possibles selon la directive Machines 2006/42/CE : - 
Contréle interne de la fabrication 

- Examen de type 

- Systeme d’assurance qualité 
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1.10.2. Contenu de la déclaration CE de conformité 


Attestation de conformité 


La déclaration CE de conformité pour les machines doit comprendre les éléments suivants : 


le nom et l’adresse du constructeur ou de son mandataire établi au sein de la Communauté ; 

la description de toutes les dispositions pertinentes auxquelles la machine satisfait ; 

le cas échéant, le nom et l’adresse de l’organisme notifié, ainsi que le numéro de I’attestation d’examen 
CE de type ; 

le cas échéant, le nom et l’adresse de l’organisme notifié auquel les documents ont été transmis 

(selon l'art. 12, par. 3) ; 

le cas échéant, le nom et l’adresse de l’organisme notifié ayant effectué l’examen (selon l'art. 12, 

par. 3) et, le cas échéant, les références aux normes harmonisées ; 

le cas échéant, les normes et spécifications techniques nationales appliquées ; 10 tere enemy C € 
les informations relatives au signataire habilité a signer au nom du fabricant ou 

de son mandataire établi au sein de la Communauté. 


Dans la Déclaration d’incorporation d’une quasi-machine (machine ne pouvant 
fonctionner de maniére indépendante mais qui constitue un élément de construction 
d’une autre machine ou installation), il convient en outre de déclarer les parties 

de machine a incorporer et de préciser que la quasi-machine ne doit pas étre mise 

en service avant que la machine dans laquelle elle doit étre incorporée ait été 
déclarée conforme aux dispositions de la directive. 


Attestation de conformité / Contenu de la déclaration CE de conformité 


Pour donner suite a la refonte de la directive Machines (2006/42/CE du 17 mai 2006), l’ancienne 
déclaration du fabricant doit rtre obligatoirement remplacée par une déclaration d’incorporation 
depuis le 29 décembre 2009. 


Contrairement a l’ancienne « déclaration du fabricant », la déclaration d’incorporation contient 
des données techniques de sécurité. La teneur de la déclaration d’incorporation est présentée a 
l’Annexe II 1B de la directive Machines sous forme d’une liste de vérification. 


La déclaration d’incorporation est délivrée pour une quasi-machine par le fabricant ou par son 
mandataire. D’aprés |’Annexe II B de la directive, elle doit indiquer que la mise en service d’une 
machine ou d’une installation dans laquelle ce composant est intégré est interdite tant que la 
conformité a la directive n’est pas établie. La déclaration doit également comprendre les données 
suivantes (en complément aux exigences de la réglementation precédemment en vigueur) : 


¢ La raison sociale et l’adresse du constructeur ; la description du produit et des informations 
didentification (désignation, fonction, modéle, type, numéro de série, dénomination 
commerciale) ; 


« Le nom et l’adresse de la personne autorisée a constituer le dossier technique ; elle doit étre 
domiciliée au sein de la CE ; 


¢ Une déclaration précisant les exigences de la directive Machines qui sont appliquées, et une 
autre indiquant la constitution du dossier technique d’aprés l’Annexe VII B ; 


« Une déclaration d’engagement a transmettre les documents requis sur demande diment 
motivée des autorités nationales ; cette déclaration précise les modalités de transmission ; 


« Les coordonnées de la personne déposant la déclaration d’incorporation. 


Le marquage CE ne peut pas étre apposé sur des quasi-machines selon la directive 
Machines. 
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1.11. Résumé 


Appréciation Réduction Attestation 
du risque du risque de conformité 


¢ La directive Machines a force de loi. 


* La directive Machines est obligatoire pour tous les fabricants de machines et applicable a 
toutes les solutions de sécurité utilisées. 

° L’'utilisation de normes harmonisées réduit le risque de responsabilité du fait de la 
présomption de conformité. 


* Lutilisation de produits certifies dans les applications selon EN 62061 et EN ISO 13849 
facilitent la mise en ceuvre de solutions de sécurité. 


Un choix gagnant : une machine sire, des €conomies, la sécurité juridique 
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1.12. Annexe 
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1.12.1. La directive européenne Machines 


Directive Machines 2006/42/CE de l'Union européenne 
http://www.newapproach.org // http://eur-lex.europa.eu 
« Elle décrit les exigences essentielles de santé et de sécurité relatives aux machines. 


« Le respect de la directive Machines 2006/42/CE est une condition préalable a 
apposition du marquage CE. 


« La directive européenne Machines est transposée dans le droit national et revét par 
conséquent un caractére obligatoire. 


< 
=. SS 
—— >a 
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1.12.2. Formations sur les normes 


Cours dispensés par le centre de formation SITRAIN 
http://sitrain.automation.siemens.com/sitrainworld/ 


ST-FASAFN 


Marquage CE et sécurité fonctionnelle dans la construction de machines et 
d’installations 
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13. Solutions possibles aux exercices 1 a 8 


Appréciation Réduction Attestation 
du risque Gu risque de conformite 


Les solutions proposées ne représentent qu'une possibilité parmi d'autres et 
n'ont pas de caractére obligatoire. En matiére d'appréciation du risque et de 
réduction du risque, il n'existe pas de solution « unique ». 
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1.13.1. Exercice 1 


Appréciation du risque 


TIA Safety 


26/08/2019 12:42 


Transport > 
M1 Presse > 


Ecrasement, Poussée, 
rasement 


a 
SS SE ee 
Levage > 
Ecrasement, 
Compression 


Levaqe Etiqueteuse Transport 
Mode: @ Auto Mode: @ Auto Mode: @ Auto 
Status: @ OK Status: @ OK Status: @ OK 
Etat poste de contréle @ OK 
Vue d'ensemble ren 
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1.13.2. Exercice 2 


a 
Evaluation du_ risque 


Probabilité d’occurrence 


eisai alse ll est probable qu’une 


- membres fracturés : 
- perte de doigts blessure se produise. 


Module de levage 
> Pincement, 
écrasement 


Probabilité d’occurrence 


A B Cc 
Gravité du dommage Trés probable Probable Improbable Trés 
improbabl 
Irréversible : 
- Mort 


- P erte d’un ceil 
- P erte d’un bras 


; le: 
3 AMéemrbre s fracturés 3B 
- Perte de doigts 
2 Reversible : 


Traitement médical Evaluation all 


1 Réversible ‘premiers soins risque du-qroupe 
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1.13.3. Exercice 3 


Evaluation du_ risque 


Probabilité d’occurrence 


HSS oe: ll est tres probable qu’une 


- membres fracturés bl ; ati 
aie deeaais essure se produise. 


Probabilité d’occurrence 
A B Cc D 


Gravité du dommage Trés probable Probable Improbable Tres 
improbable 
Irréversible : 


4 - Mort : 
Sean Presse >Ecrasement, | 
coupure 


- Perte de doigts 
2 Reversible ‘Tyaitemen 


médical Evaluation du 


1 Reversible ‘Premiers 


soins 


risque du groupe 
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1.13.4. Exercice 4 


= ] 


Evaluation du risque 


Transport > 
Probabilité d’occurrence Poussée 


Irréversible: Il est tres probable qu’une oincement 


- Mort bl dui 
- Perte d’un ceil, d'un bras SSL SE [plrelelUllse, 


Probabilité d’occurrence 


A B Cc 


Trés probable Probable Improbable Trés 
improbabl 


Gravité du dommage 


Irréversible : 
4 - Mort 
- P erte d’un ceil 
- P erte d’un bras 


: le’ 
3 fMeemrbre s fracturés 
- Perte de doigts 


Evaluation du 
risque du groupe 


2 Reversible ‘Traitement 
médical 


éversible : 
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1.13.5. Exercice 5 


Réduction du risque 


Enceinte: 


Ouverture pour 
la piece 


ouverture de la 


porte, le robot 
poursuit ses 
mouvements. 


B D 


Gravité du dommage r si 
Trés probable Probable Improbable Trés improbable 


Irréversible : 
-Mort 

- P erte d’un ceil 
- P erte d’un bras 


Irréversible : 
Bi Membres fracturés 
- P erte de doigts (Etiqueteuse) (Dispositif de levage) 
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1.13.6. Exercice 6 


Réduction du risque 


i 
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1.13.7. Exercice 7 


Réduction du risque 


Evaluation des mesures techniques 


Probabilité d’occurrence 


A B Cc D 
Gravité du dommage Trés probable Probable Improbable Trés improbable 


Irréversible: 4 C 


4 -Mort 
- P erte d'un ceil 
- P erte d’un bras 
Irréversible : 

3 - Membres fracturés 
- P erte de doigts 


(Transport) 


(Etiqueteuse) 


Réversible : 
2 Traitement médical 


1 Reversible : 
Premiers soins Nouvelle évaluation d 
risque par l’équipe 


Risques résiduels actuels : 
D’autres mesures techniques sont-elles nécessaires ? 
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1.13.8. Exercice 8 


Réduction du risque 


Dispositif de levage Etiqueteuse | Robot Poste de commande 


Arrrt d’urgence PLe Commande bimanuelle piq Surveillance porte pig Arrét d’urgence pid 


Arrrt d’urgence PLd Arrrt d’urgence PLd 


Fréquence / 


Blessure irréversible Rarement possible 


Fréquente a continue / longue 


Blessure réversible Rare a assez fréquente / courte Possible 


Start 
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2. Présentation des equipements d’automatisme 


1 issue de la formation, le participant au stage 


aura une vue d’ensemble sur le portefeuille des équipements 
d’automatisme de sécurité disponibles sur la plateforme TIA Portal 
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2.1. Les contrdéleurs SIMATIC 


+ Engineered with TIA Portal —————__________ 


Advanced Controllers 


SIMATIC $7-1501 Software Controllers 
IMATE if 


[ 


}performan 


Distributed Controllers 


Basic Controllers 
MA ; 


SIMATIC S7 


Les contréleurs S7 se caractérisent par deux niveaux de performance, le niveau de base (S7- 
1200) et le niveau de performance étendue (S7-1500). 


L’ancienne gamme des automates SIMATIC (S7-300 et S7-400) est remplacée par les 
contréleurs S7-1200 et S7-1500. 
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2.2. Composantes matérielles configurables 


Composantes matérielles configurables 
(a partir du 01.10.2007) 


Automates 


r 


CPU317TF WINA OOpro 00 -300/400 0OSP -1500F aa 


—) Saad g 


* 
er 


Stations périphériques 


ET 200M ET 200S ET 200iSP ET 200pro ET 200eco ET 200SP 


Tn ao ow oD i 
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2.3. 


DI/DQ F 


TIA Portal Professional/Basic TIA Portal Safety Advanced/Basic 


SIMATIC Safety Integrated : extensions 


= 


CPU standard actuelle CPU de sécurité 


ET200SP de sécurité 


* se)8 s- i 
ae eal - 


ET200SP standard actuel 


— 


+ 


étendre 


| a 
bee ged ; | 


En général, la CPU F doit reépondre aux mémes exigences que la CPU standard utilisée 
précédemment en termes de performance et de limites de configuration (y compris les options de 
communication). Les paramétres les plus importants sont la vitesse de traitement de la CPU car 
elle donne le temps de cycle donc le temps de réponse du systéme d'automatisation et la 
quantité de mémoire de travail qui doit permettre d'exécuter les blocs du programme standard et 
du programme de sécurité. 


Les modules d'enirée et de sortie standard et de sécurité (F-DI/DQ) peuvent également étre 
utilisés en fonctionnement mixte. Les modules F-DI/DQ nécessaires pour remplacer un relais de 
sécurité peuvent également étre intégrés dans un ET 200SP existant. Tous les modules 
d'entrée/sortie déja utilisés, y compris leur cablage, peuvent continuer a étre utilisés sans 
modification. 


La premiére unité de base doit étre une unité de base de couleur claire. Une unité de base de 
couleur claire établit un nouveau groupe de potentiel et une isolation électrique du module 
adjacent a gauche. La premiére unité de base de I'ET 200SP est toujours une unité de base de 
couleur claire pour |'alimentation de la tension d'alimentation L+. Lors de la mise en service, 
veillez a n'utiliser que des modules de signaux numériques et le module de puissance avec l'unité 
de base de type AO. 


Communication PROF Isafe 


La communication de sécurité entre le F-CPU et les modules F-DI/DQ utilisant PROF Isafe est 
intégrée dans les modules de sécurité. Elle est traitée automatiquement et ne doit pas étre 
programmée, que les modules F-DI/DQ soient utilisés de maniére centralisée ou comme modules 
décentralisés via PROFIBUS ou PROFINET. La communication standard déja configurée n'est pas 
affectée par la communication de sécurité via PROF Isafe . 
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2.4. SIMATIC Safety Integrated : configuration logicielle? 


TIA Professional + Safety Advanced 


+ Tous les automates de sécurité SIMATIC (validés dans TIA Portal) + 
Charger/traiter les composantes matérielles de sécurité 

+ Charger/traiter les programmes standard 

+ Charger/traiter les programmes de sécurité + 

Faire une impression de sécurité 


Professional/Basic + Safety Basic 
-- Uniquement les automates de sécurité S7-1200 


+ Charger/traiter les composantes matérielles (S7-1200) 


+ Charger/traiter les programmes standard 
+ Charger/traiter les programmes de sécurité (S7-1200) 
+ Faire une impression de sécurité (S7-1200) 


TIA Professional/Basic (sans Safety) 


-- CPU de sécurité uniquement pour programmes standard 
-- Pas de chargement/traitement des composantes de 
sécurité 

+ Charger/traiter les programmes standard 

-- Accés en lecture seule au programme de sécurité 

-- Impossible de faire une impression de sécurité 
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2.5. | SIMATIC S7-1200 


1200-CPUs 


Types de CPU 12110 1212FG 91214FC §3=—«1215FC = s«41217C 


Interfaces 


Mémoire 
programme / 50KB 75/1 00KB 100/125KB 125/150KB 150KB 
Mémoire de 4 MB 4 MB 4 MB 4 MB 4 MB 
données 


Temps 
d’exécution 


(opération sur 85 ns 85 ns 85 ns 85 ns 85 ns 


bit) 


Caractéristiques 


Contrdéleur modulaire compact pour applications simples (puissance de calcul faible a 
moyenne) 


Gamme échelonnée de CPU 

Vaste gamme de modules 

Capacité d’extension jusqu’a 11 modules 

Mise en réseau possible avec PROFIBUS ou PROFINET 


Régles de montage des modules 
- Modules de communication (CM) a gauche de la CPU (en fonction de la CPU) - 
Modules de signaux (SM) a droite de la CPU (en fonction de la CPU) 
Automatisme complet avec CPU et E/S dans un seul appareil 
- E/S tout-ou-rien et analogiques intégrées 
- Extension avec carte de signaux 


Contréleur avec fonctions intégrées 
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2.5.1. SIMATIC S7-1200 


Propriétés CPU 
Programme de sécurité et applications standard = 
interface PROFINET 


» Fonctions technologiques intégrées : commande 
de mouvements (Motion), régulation, comptage, 
mesure 


«= Pas d’l/O F sur la base CPU! 
« Profisafe (a partir deV4.1) 


Modules E/S S7-1200 a sécurité intégr 


= SM 1226 F-DI 16 x 24VDC 
» SM 1226 F-DQ 4 x 24VDC 
» SM 1226 F-DQ 2 x Relais 


Reégles de montage des modules 
* Modules de communication (CM) a gauche de la CPU (selon la CPU) 


¢ Modules de signaux (SM) tout-ou-rien et analogiques a droite de la CPU (selon la CPU) 


Modules de signaux 
* ETOR, STOR, E/S TOR (24Vé=, relais) 
¢« EANA, SANA ou E/S ANA (tension, courant, résistance, thermocouple) 


Modules de communication (CM - Communication module, CP - Communication processor) 
* Couplage point-a-point (RS232, RS485) 
* PROFIBUS 
* Maitre AS-i 


* Contrdle a distance (fonctionnalité GPRS) 


Carte d’extension 
* Extension de la CPU avec une périphérie embarquée ou une interface réseau 


« Une carte batterie assure la sauvegarde a long terme de l’horloge. 
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2.6. SIMATIC S7-1500 


MFP 
ET 200SP 1500 CPUs 
CPU 
1S11TF sip. 
1510SP F-1512SPF- 1511F- 1513F- 1515F- 1516F- 1517F- 1518F- 1515TF 
CPU Types 4PN/DP 
1PN 1PN 1PN 1PN 2PN 3PN/DP 3PN/DP 4PN/DP 1516TF MFP 
1517TF 
vtertace: rr | ne | ee | 
Standard 
Mémoire 50% dé 4g MB 
100/150KB 200/300KB 150/225KB300/450KB 500/750KB 1/1.5 MB 2/3 MB 4/6 MB mémoire MB 
emeoire 750KB 1MB 1MB 1.5 MB 3 MB 5 MB 8 MB 20 MB programme 50 MB?) 
données suppl. 
Temps 
d’exécution Comme 
operation Sur 72ns 48ns 60 ns 40 ns 30 ns 10 ns 2ns 1ns SET ins 
bit) 
175 


100mm 100mm 35mm 35mm 70mm 70mm 175mm 175 mm©omme 
piandatd 


1) 50 Mo de mémoire supplémentaire pour les applications ODK (Open Development Kit) 


CPU 1510SP F-1 PN a CPU 1518 F-4 PN/DP 


CPU 1518 


Les CPU 1510SP F-1 PN a CPU 1518F-4 PN/DP sont les CPU de sécurité qui exécutent des 
applications standards et de sécurité avec des modules de périphéries centralisées ou 
décentralisées. Elles peuvent étre utilisées en tant que contréleur PROFINET IO ou en tant que 
module intelligent distribué (PROFINET I-Device). L’interface intégrée PROFINET IO IRT assure 
la commutation de maniére a permettre la réalisation de réseau a topologie linéaire. En outre, les 
CPU offrent de nombreuses fonctionnalités de régulation et permettent d’intégrer a la solution 
d’automatisation des systqmes d’entrainement via les blocs standardisés PLC open. Les 
automates de sécurité S7-151xF sont certifiés selon la norme EN 61508 relative a la sécurité 
fonctionnelle des systémes électriques et électroniques programmables (version 2010) et 
peuvent étre utilisées pour des applications de sécurité jusqu'au niveau d’intégrité de sécurité 
SIL 3, selon la norme CEI 62061 et jusqu’au niveau de performance PLe, selon la norme ISO 
13849. 


Pour la sécurité de l'information IT, une protection supplémentaire par mot de passe doit étre 
mise en ceuvre pour sécuriser la configuration F et le programme de sécurité. 


F-4 PN/DP MFP 


Outre la possibilité d'exécuter du code C/C++ dans le programme STEP 7 standard, la plate- 
forme multifonctionnelle CPU 1518(F) MFP fournit un deuxiéme environnement d'exécution 
indépendant afin d'exécuter des applications C/C++ en paralléle avec le programme STEP 7 si 
nécessaire. Le matériel PC supplémentaire précédemment requis n'est plus nécessaire. 
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2.7. Périphéries de sécurité 


Périphérie de 
sécurité 


Propriétés 


Périphérie modulaire pour 
applications nécessitant “in 
nombreuses voies 


ET 200M 
(jusqu’a 24 voies par mT 
Périphérie modulaire pour 
applications nécessitant de 
ET 200MP nombreuses voies 
(jusqu’a 24 voies par module) 
Périphérie hautement 
ET 200S modulaire 
(jusqu’a 8 voies par module 
Périphérie hautement 
ET 200SP modulaire (jusqu’a 8 voies par 


module) 
Périphérie hautement 
modulaire (jusqu’a 8 voies p 
Et Ew module) pour une utilisation 


en atmosphére  explosible 
(zones Ex) 


Périphérie = modulaire 
Renew | multifonctions 


en degré de protection élevé Ej 
x x Périphérie décentralisée avec 
faVaVava¥e bloc de raccordement 
SS 0 eS 


en degré de protection élevé 
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2.8. TIA Selection Tool 


Un outil pour le portfolio Flexibilité: 
Siemens automation | Comment et ou vous voulez 


(XK Rapide : Toujours 
création de la 
configuration 


Interfaces avec de 
nombreux outils 


| 


Devenez ingénieur de 


Gain de temps considérable 


avec l'aide d’ assistants de configuration et créez la 
sélection intelligents configuration complete de votre 
installation 


TIA Selection Tool 
TIA Selection Tool 


Un outil - deux versions 


* Hors ligne 
— Tourne localement sur le PC sans Internet 


- Sauvegarde des projets localement ou dans le Cloud 


¢ En ligne 
— Version pour navigateur 
— Optimisé pour le travail mobile et le fonctionnement tactile sur tablette ou portable - 
Sauvegarde des projets dans le Cloud OEE 


Y SIEMENS 
Interface utilisateur conviviale 


Seer at predict pspetes Configure ureets Potertel ditt: 
——- 
ET 2OOGP GIMATIC ET 2008 GO CHU Oper Comtrctiert) 
+ Oa 


¢ Pour les appareils tactiles 
- Utilisation rapide et intuitive par le toucher 
¢ Pour les PC 
e d’ensemble complate 
lisser-G@poser pour la configuration 


> 
> 
> 
7 
+ 
> 
7 
> 
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Interface avec TIA Portal et systemes ECAD 


AutomationML, la nouvelle norme d'échange de données pour les systemes d'automatisation, 
permet d'échanger des configurations entre TIA Selection Tool, TIA Portal et les systemes ECAD 
(par exemple EPLAN) 


¢ Continuité du travail avec le projet importé immédiatement dans TIA Portal et le systeme 
ECAD 


« Latransition avec l’ingénierie de projet permet de gagner beaucoup de temps 


Vue de la charge 24 V DC 
Support visuel et technique pour la mise en place d’une alimentation 24 V 
¢ Détermination directe de l’alimentation pour les charges configurées 


« Recommandation pour le choix des alimentations adaptées 


Interface SIZER 
Configuration au-dela des limites de l'automatisation avec l'interface de SIZER 
¢ Passage direct a la configuration de I'entrainement par l'interface de |'outil SIZER 


« Les systemes basse tension, y compris les contréleurs avec des fonctions motion control, 
peuvent étre configurés et intégrés directement dans les projets dans TIA Selection Tool avec 
SIZER 


Systeme modulaire SIRIUS 
Permet de combiner de maniére optimale 
« Mise en place de centaines de départs-moteur 


¢ Vous trouverez tout ce dont vous avez besoin pour commuter, protéger, démarrer et surveiller 
les moteurs dans le systeme modulaire SIRIUS 


Tutoriels pour toutes les fonctions 
Vous disposez d’une quantité de tutoriels pour apprendre a connaitre et vous exercer aux 


fonctions les plus complexes 


B Log on to the Industry Mall *+« 


Y SIEMENS 


General Tutorials information Update Feedback 
SSS 


Welcome 
Use support 


% 


New device 


Ma 


Projects 


W 


Order list 


5 © 
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2.9. Information compléementaire 
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2.9.1. Contrdleurs ET 200SP et ET 200pro 
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2.9.2. Contrdleur logiciel 


SIEMENS 


0 


Overview 
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2.9.3. Contrdleur ET 200SP Open « Tout en un » 
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2.9.4. SIMATIC ET 200SP 


Pérennité des investissements Disponibilité élevée 

° Test du signal intégré 

* Court-circuit, rupture de fil,... 

« Diagnostic simple et rapide grace 
aux messages d'erreur clairs et 
localisation précise des défauts 


* Simple ajout d’un module de 
sécurité au module de périphérie 
standard 


{| 

Mise en service simplifiée . 
* L'adresse PROF Isafe est 

configurée par voie logicielle et 


mémorisée dans le détrompeur. tilisation optimale du 


volume de I'armoire 
de commande 
*Réduction de la largeur du module 


Remplacement simplifié de 50 % ou plus 


« L'adresse PROF safe est « Montage de groupes de potentiel 


automatiquement transmise (départs) sans modules de 
depuis le détrompeur intelligent. puissance 


Modules périphériques de sécurité pour SIMATIC ET 200SP 


Le SIMATIC ET 200SP permet d’assurer une communication sécurisée via le réseau PROF Isafe. 
La taille des modules de sécurité pour entrées/sorties tout-ou-rien (DI et DQ) correspond a celle 
des modules standard. Leur sécurité fonctionnelle est certifigée conformément a la norme EN 
61508. Les modules E/S de sécurité sont congus pour des applications de sécurité jusqu'au 
niveau d’intégrité de sécurité SIL 3, selon la norme CEI 62061 relative a la sécurité des 
machines, et jusqu’au niveau de performance PLe, selon la norme ISO 13849 également relative 
a la sécurité des machines. 


Les modules de sécurité du SIMATIC ET200SP ont une particularité : l'adressage pour les 
applications de sécurité est réalisé via l’outil d’ingénierie pour l'ensemble de la station 
périphérique, et non pas via les micro-rupteurs DIP situés sur chacun des modules (adresse F). 
Ainsi, en cas de remplacement d'un module, I'adresse F (utilisée par les applications de sécurité) 


enregistrée dans le détrompeur (élément de codage) reste mémorisée dans |’unité de base (Base 


Unit). En cas d’enfichage d’un nouveau module sur la CPU, il se voit affecter automatiquement 


l'adresse F. L'adressage manuel n'est donc plus nécessaire. Le paramétrage est ainsi simplifié, ce 


qui permet de gagner du temps lors de l’installation d’un nouveau module. 


Le module de puissance F-PME du SIMATIC ET 200SP permet d’alimenter des groupes de 
modules STOR standard ou de sécurité. La fonction de sécurité dans la CPU peut étre évaluée 
au choix dans la CPU de sécurité ou dans le module de puissance F-PM-E. Cette coupure 
directe et rapide du groupe est assurée jusqu'au niveau d’intégrité de sécurité SIL2 / PLd ou 
SIL3 / PLe. 


TIA SAFETY + Présentation des équipements 


Document de formation en version V16.00.00 2-17 


SIMATIC TIA Portal Safety Advanced 


2.9.5. | Présentation des fonctions de sécurité pour SINAMICS S/G 


Entrainement Fonction de base Fonctions étendues 


SINAMICS 
G120/G120C/G120D-2 


SINAMICS G120 F-Version _: 
SINAMICS G120D-2 F-Version 


SINAMICS $110 
SINAMICS $120 Booksize & 


Blocksize 


ALANA 


Cabinet Modules 
SINAMICS G130/150 


STO SS1 SBC SLS SDI SSM SS2 SOS SLP SP SBT 


Les fonctions de sécurité du systqme d’entrainement SINAMICS 
¢ STO: Safe Torque Off / Safe Brake Control 
* $81: Safe Stop 1 
* $82: Safe Stop 2 
* SOS : Safe Operating Stop 
* SLS : Safely Limited Speed 
* SSM: Safe Speed Monitor 
¢ SDI: Safe Direction 
* SBC/ SBA: Safe Brake Control / Commande de frein de sécurité 
* SP : Safe Position 
* SLP : Safe Limited Position 
* SBT : Safe Brake Test 


Remarques 


* Tous les moteurs asynchrones et synchrones 1FU8 (SIMOSYN) peuvent fonctionner sans 
codeur. 


* Si les fonctions de base doivent étre commandées via le module TM54F, il faut recourir aux 
fonctions étendues (Extended Functions) qui comprennent les fonctions de base (Basic 
Functions). 


* Les fonctions de base peuvent également étre utilisées sans licence via PROF Isafe. 
* Pour les fonctions étendues, il faut acquérir une licence par axe. 


* Les fonctions étendues peuvent étre commandées par PROF lsafe ou via le module TM54F. 
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2.9.6. Licences disponibles 


Licences disponibles (Industry Mall) 


Produit Article No. 


STEP 7 Safety Advanced V15 6ES7833-1FA15-0YA5 
Télécharger le logiciel 6ES7833-1FA15-OYH5 §& 


Mise a niveau S7 Distributed Safety -> Safety 


Advanced 6ES7833-1FA15-0YF5 


6ES7833-1FA15-0YY5 


Télécharger le logiciel 
SUS STEP 7 Safety Advanced 6ES7833-1FC00-0YX2 
Télécharger le logiciel 6ES7833-1FCO0-0YYO 
SUS STEP 7 Safety Advanced compact ** 6ES7833-1FC00-0YM2 


**SUS compact signifie qu'un seul support de données (une clé USB) est fourni, indépendamment de la quantité 
commandée. 


TIA SAFETY + Présentation des équipements 
Document de formation en version V16.00.00 2-19 


SIMATIC TIA Portal Safety Advanced 


Tables des matieres 


3. Principe de fonctionnement de Safety Integrated... eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeees 3-2 
3.1. Technologies de sécurité CONVENtIONNEIIES 0.0... ceeececeeeeeeeteeeeeee cent eeeeaeeeeaeeseeeeeteaeeetaeeeeneeees 3-3 
3.2. Technologie de sécurité intégrée (Safety Integrated) ............ccceeeeeceeeeeeeeeteeeeeeeaeeeeeaeeteneeees 3-4 
3.3. Extensions matérielles et logicielles ..............cccccesceceeeeeseeeeeeaeeceeeeeceaeeesaaeeeeneeseaeeesaeeesaeeeenees 3-5 
3.4. PROB |Isaf@. caste weivishiiad Mei ae ae ei eee ee 3-6 
3.4.1. — Canal nOitsisecisei cane cie Merion ea maine tiated 3-6 
34:2 PROF ISafesc:sv:2uugned.s Laelia eine eee ieliae dented 3-7 
3.4.3. | Numérotation continue (COMpPteul).........ccccecceeeeeececeeeeeceaeeeeeaeceeeeeseaeeesaaeeeeaeeseeeeesaeeseaeeseees 3-8 
3.4.4. Surveillance temporelle (Watchdog Timer)...........::cccccceceeeeeeseeeeeeeeeeeeeseaeeeeneeseeeeseaeeeeaeeeeeees 3-9 
3.4.5. Relation adresse F-Source / adresse F-DeSstination............c:ccceccceceeeeeeeeceeeeeeeeeeeeeeeeeeeeenaes 3-10 
3.4.6. Formation du CRC (Cyclic Redundancy Check) .......0...c::cceesceeeeeeeceneeeeeeeeeeeeseeeeseaeeeeeeeeaes 3-11 
3.4.7: Contréle:du: CRC....3.04l ariel alin ae biel da een iiliediedantvesa 3-12 
3.5. PrOQFAMME COCGE........cceecceceeeceeeeeceeeeeeeeeeeeaaeeeeaaeeeaeeecaaeeecaaessaeeseeeeesaaeseeaaessneeseeeesaeseeneeesaes 3-13 
3.5:1..- “Fraitement:codé's.2.cs0h:..cs..aietin iets tele Ase ae doth diecaiehetveclaeied diel 3-14 
3.6. Information COMPIEMENTAILE ...........:cceeeeceeeeeeeeeceeeeeeeeeeeeaaeeeeaeeceeeeesaaeeesaaeeeeeeeeeeeesiaeeeeeeeeaes 3-15 
SOs. “TYPOS: Crreurss cesivszesdinsc ctu estan nest Sateesaea hace ch banteta estan ea SA Solteching Ean Sch states Con es SNC e 3-16 
3.6.2. FRET OCS iss cs Shes scocites ach alas oaten San se evt Calptiict tac nthe sisgte ee tctng sat Ss lating buantatts sinciiert neceet cites saath 3-17 


TIA-SAFETY + Principe de fonctionnement 
Document de formation en version V16.00.00 3-1 


SIMATIC TIA Portal Safety Advanced 


3. Principe de fonctionnement de Safety Integrated 


1 l'issue de la formation, le participant au stage 
... sera capable d‘expliquer le principe de fonctionnement de la sécurité intégrée 
... pourra expliquer le principe de la communication PROF Isafe 


... pourra expliquer la programmation selon le principe de « redondance diversitaire » 
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3.1. Technologies de sécurité conventionnelles 


q Technologie Safety Automation 
‘+ Contréleur 


i ou 
Relais de MSS 
sécurité 


Capteur, interrupteur 
de position, arrét 
d‘urgence, ... 


Périphérie I/O 


Entrainement 


2x en série 


Contacteurs, relais, 


Technologies de sécurité conventionnelles 


Les fonctions standards et les fonctions de sécurité sont programmées dans des contréleurs et 
des réseaux de terrain distincts. Les fonctions de sécurité peuvent étre intégrées avec un relais 


de sécurité ou un contréleur de sécurité. 
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Technologie de sécurité integrée (Safety Integrated) 


La technologies de sécurité intégrée dans l’automation 


- | Contrdleur de 
| seécurite 


Evaluation 


Périphérie I/O avec 
modules safety 


Barriére, 
laser scanner, capteur 
de position, ... 


Entrainement 
avec sécurité 
intégrée 


Safety Integrated 


Avantages 


3-4 


Safety Integrated désigne le concept de sécurité global destiné aux équipements d’automatisme 
et aux systémes d'entrainement de Siemens. Safety Integrated regroupe l'ensemble des 
composantes de sécurité (détecteurs, actionneurs et automates) et intégre la communication 
sécurisée via un bus de terrain standard. Outre les fonctions standard, les systemes 
d’entrainement et les automates peuvent également assurer des fonctions de sécurité. Le 
concept de sécurité intégrée permet de combiner fiabilité, flexibilité et productivité. 


Les équipements d’automatisme standard et les quipements de sécurité sont interconnectés via 
un systeme de bus commun. II peut s’agir d’un reseau PROFIBUS, d’un réseau PROFINET ou 
d’une combinaison des deux, la communication sécurisée pouvant étre également assurée au- 
dela des limites du bus. 


Les avantages de l'intégration des applications de sécurité aux systemes d'automatisation 
standard sont les suivants : 


* Davantage de flexibilité (par rapport aux solutions électromécaniques) 
« Réduction des opérations de cablage 


« Une seule CPU requise grace a la coexistence du programme standard et du programme de 
sécurité 


« Communication simple entre le programme standard et le programme de sécurité 


« Ingénierie simplifiée (configuration et programmation avec des outils d'ingénierie standard). 
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Bid Extensions materielles et logicielles 


Oe 


Acquisition 


vVraterrer- Crt tiiiterornierer stanGgara 


Réaction 


Programme standard 


Lors de l'intégration des fonctions de sécurité a un automate SIMATIC, les fonctions 
d’automatisation standard restent pratiquement inchangées : 


° Modules de périphérie standard et cablage 


° Programme standard 


Modules de périphérie de sécurité 


« Les modules de sécurité se distinguent essentiellement des modules standard par leur 
structure interne a deux canaux. Les deux processeurs intégrés se surveillent mutuellement et 
testent automatiquement les circuits d'entrée ou de sortie. En cas de défaut, ils font passer le 
module de sécurité en mode de sécurité. 


« Les modules d'entrée tout-ou-rien de sécurité interrogent les états logiques fournis par les 
détecteurs de sécurité (par ex. : bouton d'arrét d'urgence), exécutent des tests de court-circuit 
ainsi que des analyses de discordance, et envoient les télegrammes de sécurité a la CPU F. 


« Les modules de sortie TOR de sécurité peuvent commander des manceuvres de coupure 
avec surveillance de court-circuit jusqu'a l'actionneur. 


« Les modules de périphérie de sécurité communiquent avec la CPU de sécurité via le profil de 
bus de sécurité PROF Isafe. 


CPU de sécurité 


La CPU standard est remplacée par une CPU de sécurité, qui regroupe les fonctionnalités d'une 
CPU standard et celles d'une CPU de sécurité. Avec un systéme d'exploitation doté de 
mécanismes de protection, des programmes utilisateur standard et des programmes de sécurité 
peuvent étre exécutés sur une méme CPU. 
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3.4. PROF Isafe 


3.4.1. Canal noir 


Couche Couche 
standard Telegramme CEEN standard 


Canal noir 


> PROF lsafe est une couche de communication sécurisée supplémentaire. 


> Les données PROFIsafe sont transmises dans les données utiles de la communication standard. > La 
communication qui s’opqre a un niveau inférieur a celui de la couche de communication 
sécurisée-est désignée par le-terme-de-«-canat noir»: 


Couche PROF Isafe 


PROFIsafe est la premiére norme ouverte pour bus de terrain de sécurité (reseaux de 
communication industriels CE] 61784) qui permet d’échanger sur un méme bus des données 
standard et des données de sécurité (réseau cablé ou sans fil via un WLAN). 


PROF lsafe permet d’assurer la communication standard et la communication de sécurité avec 
une méme infrastructure réseau. 


Les données standard et les données de sécurité sont transmises sur la méme ligne de bus. 
PROFIsafe utilise le principe du canal noir pour transmettre les données de sécurité via un 
réseau standard. Selon ce principe, les données de sécurité transportées sur le réseau de terrain 
standard sont considérées comme des données supplémentaires (couche PROF Isafe). La 
communication de sécurité ne dépend donc pas du systéme de bus et des composantes réseau 
sous-jacentes. 


TIA-SAFETY + Principe de fonctionnement 
3-6 Document de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


3.4.2. PROF Isafe 


Telegramme PROFIsafe 


> Communication de l'automate au périphérique : octet de commande 
> Communication du périphérique a l’'automate : octet d’état 
> Les données d’entrée et de sortie peuvent rtre étendues a 123 octets. 


> 3 ou 4 octets de CRC (en fonction du volume de données a transmettre) 


Les données de sécurité échangées entre I’héte F (CPU de sécurité) et le périphérique de 
sécurité constituent une charge utile transportée dans les télégrammes PROFIBUS ou 
PROFINET. Dans le cas d’un périphérique de sécurité modulaire, comportant plusieurs modules 
de sécurité, la charge utile comprend plusieurs messages de sécurité. Le message commence 
avec les données d’entrée/sortie. La structure des données d’un périphérique de sécurité est 
définie dans le fichier GSD correspondant (General Station Description). L’automatisation des 
processus industriels (que ce soit dans l'industrie manufacturiére ou le génie des procédés) 
soumet le systeme de commande de sécurité a certaines exigences. La premiére exigence est le 
temps de traitement des signaux de sécurité : les signaux (bits) doivent étre courts pour pouvoir 
é6tre traités tres rapidement. Les valeurs du processus peuvent avoir un format plus long (virgule 
flottante) car elles autorisent un temps de traitement plus long. PROF lsafe offre donc deux 
structures de données différentes : une structure limitée a 12 octets, dont 3 octets pour la 
signature CRC, et une structure pouvant atteindre 123 octets, avec 4 octets pour la signature 
CRC. Dans un message de sécurité émis par I’héte de sécurité, les données d’entrée/sortie de 
sécurité sont suivies d’un octet de commande (de l’automate) ou d’un octet d’état (du 
périphérique). Les deux octets permettent de synchroniser les machines utilisant le protocole 
PROFIsafe. Un télégramme de sécurité se termine par une signature CRC dont la longueur 
dépend des données d’E/S de sécurité. La numérotation continue n’est pas transmise avec le 
télégramme de sécurité. L’émetteur et le destinataire disposent de leur propre compteur de 
télégrammes, qui sont synchronisés a l'aide de l’octet de commande et de I’octet d’état. La 
synchronisation est surveillée en intégrant la valeur du compteur au calcul de la signature CRC. 
L’adresse est également surveillée (intégration au calcul de la signature CRC). 
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3.4.3. | Numérotation continue (Compteur) 


Compteur: 1002 hex Compteur :1002 hex 


Jf incrémenter 


> Compteur 24 bits 


> Incrément a chaque cycle 
> Un seul bit est transmis pour incrémenter le compteur. 


> Aprés un débordement, le compteur repart a « O ». 


> Le compteur 24 bits lance le calcul du total de contrdéle a un. 
Ainsi, la transmission du bit de basculement (toggle) suffit. 


La numérotation continue des télégrammes permet au destinataire de déterminer si tous les 
télégrammes sont arrivés et s’ils sont arrivés dans le bon ordre. L’accusé de réception envoyé a 
l'expéditeur comporte le numéro de télégramme. En fait, un simple bit de basculement (toggle) 
suffirait pour assurer cette fonction. Mais comme certaines composantes réseau, par ex. les 
commutateurs, disposent d’une mémoire cache, la communication PROF Isafe utilise un 
compteur 24 bits. 
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3.4.4. Surveillance temporelle (Watchdog Timer) 


#2 tenms 


Télégramme 
arrivé a temps. Télégramme en retard 
Temporisation réinitialisée ou perdu 


> Le chien de garde (Watchdog) est une fonction de surveillance qui déclenche 
les fonctions de sécurité lorsqu’un paquet de données arrive hors délai ou se perd. 


Pour les applications de sécurité, il ne suffit pas de transmettre des signaux du processus non 
corrompus et des valeurs exactes, il convient également de veiller a leur mise a jour dans le délai 
requis (tolérance aux défauts du processus). 


En cas de dépassement du délai imparti, le périphérique de sécurité peut ainsi déclencher par lui- 
mrme des mesures de sécurité (arrrt d'un mouvement par exemple). Le périphérique de sécurité 
utilise une horloge de surveillance (watchdog timer) qui redémarre lorsqu’un message de sécurité 
arrive avec une nouvelle numérotation continue. 
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Relation adresse F-Source / adresse F-Destination 


Adresse source: 100 Adresse cible : 500 


Adresse univoque 


Adresses erronées ou 
Adresses correctes affectation erronée 


> ll faut une affectation d’adresse univoque entre l’émetteur et le destinataire (surveillance de l’authenticité). 


L’authentification de I’émetteur et du récepteur permet a l’automate et a l’appareil de terrain de 
déceler les messages de sécurité qui ont été acheminés par erreur. Avec PROF Isafe, l’adresse 
univoque permet d’identifier l’6metteur et le récepteur. 
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3.4.6. | Formation du CRC (Cyclic Redundancy Check) 


ompteur : 1001 "“@ 
—— 
Adresse cible : 500 


Pour assurer l’intégrité des do 
intégrant les informations suivantes dans la sommes contréle : 
wa 


> Adresse source et cible 
> Les données a transmett ctet d’état 2 


> Position du compteur 


ses, il faut procéder a un contrdle de redondance cyclique (CRC) en 


La somme_de.contréle (C. t_calculée sur la base de ces informations et jointe au 
paquet de données a transmettre. 
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3.4.7. Contrdle du CRC 


Calcul de la somme de v| CRC calcule : 
contréle a l’émission CRC : 6A 4 CRC identique 

Liintégrité des données 
Calcul de la somme de 


contréle a la réception CRC : 6 A 4 SSL SONG aaSUGR: 
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3.5. 


Programme codé 


Programme utilisateur : Programme codé : 


Programme Programme de sécurité généré 
de sécurité créée par par Safety Advanced 
l'utilisateur (selon le principe de la redondance diversitaire) 


Programme standard | 
Matériel et micrologiciel standard | 


Programme de sécurité 


Le programme de sécurité (programme F), qui commande les fonctions de sécurité, se compose 
d'une séquence de programme créée par l'utilisateur en LOG ou en CONT, et d'une séquence de 
programme générée par l’outil d’ingénierie Safety Advanced. Cette séquence de programme 
comporte notamment la logique qui met en ceuvre le principe dit de « redondance diversitaire » 
dans le programme d’automatisation. 


La création du programme standard et du programme de sécurité s'effectue dans le méme 
environnement de programmation. Les blocs fonctionnels certifiés TUV permettent de réaliser les 
fonctions de sécurité les plus courantes, ce qui simplifie la programmation. 


Coexistence des programmes standard et de sécurité 


Les programmes standard et de sécurité sont traités indépendamment les uns des autres par la 
CPU. En raison de la coexistence des deux programmes sur une méme CPU, la communication 
peut étre assurée via des variables globales. 


Les modifications du programme standard n'ont aucune incidence sur le programme de sécurité, 
ce qui permet d’assurer son intégrité. 
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Traitement codé 


Redondance temporaire et diversité 


Vea heb 


-— A Q PR 
c = F\Xc &c De 


Opération 


eaonaance temporaire 


Temps 


Redondance temporelle et diversité 


3-14 


Les CPU de sécurité du SIMATIC S7 fonctionnent selon les principes de redondance temporelle 
et de diversité (redondance diversitaire), ce qui permet de mettre en ceuvre un systeme de 
sécurité avec une seule CPU et un seul processeur. L’outil Safety Advanced ajoute ainsi au 
programme de sécurité librement programmable par I'utilisateur des blocs de sécurité 
supplémentaires (FC/FB F). lls se basent sur une logique « diversitaire » par rapport au 
programme utilisateur, a Savoir une logique qui fait appel a d’autres opérandes et opérations pour 
obtenir le résultat logique. 


Les deux séquences de programme de sécurité sont redondantes dans le temps, ce qui signifie 
qu’elles sont traitées consécutivement et que les résultats logiques sont comparés. En cas 
d'erreur, la CPU de sécurité réagit en plagant l'installation dans un état sécurisé. 


En outre, Safety Advanced crée d'autres blocs systéme de sécurité, qui permettent d’établir la 
communication PROF lsafe avec les modules de périphérie de sécurité. 
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3.6. Information complémentaire 
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Répétition 
Perte 
Insertion erronée 
Séquence erronée 


Corruption des données 


Retard 


Mascarade: confusion entre données 
sécurité et standard 
Adressage (erreur) 


Erreur de mémoire dans les 
commutateurs 


Récurrence 


Un paquet obsolete est renvoye. 
Un paquet est perdu. 
Un paquet erroné est inséré. 
Les paquets arrivent dans un ordre erroné. 


Un paquet de données est endommagé ou 
corrompu. 


Un paquet arrive hors délai admissible. 


Un paquet de données standard s’apparente a un 
paquet de données de sécurité. 
Affectation d’adresse équivoque 


Erreur de synchronisation FIFO 
(first in first out) 


Des messages obsolétes et non actualisés sont renvoyés au mauvais moment. 


Perte 


Un message n'est pas recu ou s’est perdu. 


Insertion erronée 


Un message d'une source inattendue ou inconnue est inséré. 


Séquence erronée 


La séquence définie (numéro d’ordre, sequencement) des messages émis par une source donnée 


est erronée. 


Corruption des données 


Des messages peuvent étre corrompus par un défaut matériel sur une station raccordée au bus, un 
défaut sur une composante réseau (transmission) ou par un défaut d’intégrité des messages 
(interférence). 


Retard 


Des messages peuvent étre retardés au-dela de la période de réception admissible, par exemple en 
raison de défauts de transmission, de la surcharge des liaisons, d’interférences ou de |’envoi de 
messages qui retardent le service ou qui ne sont pas identifiés (par exemple : FIFO dans les 
commutateurs, les passerelles et les routeurs). 

Confusion des données 


Un message provenant d'une source manifestement valide est inséré. Un message standard peut 
ainsi étre regu par une station assurant une fonction de sécurité. Le message standard est alors 
considéré comme ayant une incidence sur la sécurité. 


Erreur d’adressage 
L’affectation d’adresse entre l’émetteur et le récepteur est 6quivoque. 
Erreur de synchronisation dans la mémoire (FIFO) des commutateurs 


La séquence de données est erronée 
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3.6.2. Remédes 


Reméede 


Compteur 


Erour continu(Virtuel) 


Répétition 
Perte 
Insertion erronée 


Séquence erronée 


Corruption des 
données 


Retard 
Mascarade 


Adressage erroné 


Erreur mémoire dans 
les commutateurs 
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Station de travail et configuration matérielle 


1 'issue de la formation, le participant au stage 
saura configurer les stations de sécurité S7-1500 et ET 200SP. 


pourra définir les parameétres généraux d’une CPU et 
d’un module de sécurité. 


saura affecter les adresses cibles de sécurité. 
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4.1. Structure de la station de travail equipée d’un automate S7- 
1500F et d’une station périphérique ET200SP 


Station de travail Station de travail 


Variante 1 ee (2° 2 


Station de travail S7-1500F 


La station de travail se compose des éléments suivants : 


ou 


ET 200SP 


Automate programmable S7-1500 avec CPU S7-1500F 
Module d’entrée TOR DI 16x24 VDC HF 


Automate programmable S7-1500 avec CPU S7-1500F 
Module d’entrée TOR DI 32x24VDC HF 

Module de sortie TOR DQ 32x24VDC/0,5A ST 

Module d’entrée analogique Al 8xUI/RTD/TC ST 


Station périphérique décentralisée ET 200SP avec interface PROFINET 

Module d’entrée TOR F-DI 8x24VDC, 8 entrées SIL 2/PL d ou 4 entrées SIL 3/PL e 
Module de puissance de sécurité F PM-E PPM DC24V/8A 

Module de sortie TOR F-DQ 4x24VDC/2A PM HF, 4 sorties, commutation PM, SIL 3/PL e 
Module d’entrée TOR F-DI 8x24VDC, 8 entrées SIL 2/PL d ou 4 entrées SIL 3/PL e 
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4.1.1. | Vue synoptique de la station de travail 


MMA TIC (8) TPDO0 Corrtert Peret 


Configurer un automate S7-1500F 


Un équipement d’automatisme de sécurité SIMATIC Safety se configure généralement de la 
mrme maniére qu’un systéme d’automatisation standard S7-1500. Vous configurez et 
paramétrez le matériel dans |’éditeur « Appareils & Réseaux » en tant que configuration 
centralisée et/ou décentralisée (ET 200SP). Comme pour un systéme standard, vous 
sélectionnez les composantes de sécurité dans |l’outil « Catalogue du matériel » et vous les 
placez dans la fenétre de travail de la « Vue du réseau » ou « Vue des appareils ». Les 
composantes de sécurité sont représentées en jaune. 
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4.2. Configuration mateérielle de |'automate de sécurité 
equipant la station de travail 


STEP 7 Professional 


Configuration du matériel 


La configuration et le paramétrage des modules de sécurité s’effectuent a l’aide de l’outil 
standard « STEP 7 Professional », la création du programme de sécurité a l'aide du pack « 
Safety Advanced ». 


TIA Selection Tool 


L’outil TIA Selection Tool permet de sélectionner, de configurer et de commander les 
équipements d’automatisme de la gamme Totally Integrated Automation. Vous pouvez lancer cet 
outil directement a partir du Siemens Industry Mall ou le télécharger sous forme de fichier. L’outil 
TIA Selection Tool propose des assistants pour la sélection des appareils et des réseaux 
souhaités. Il met également a votre disposition des configurateurs pour la sélection des modules 
et des accessoires, ainsi que pour la vérification des fonctionnalités. 


TIA Selection Tool génére une liste de commande compléte a partir de votre sélection ou 
configuration de produits. Cette liste peut rtre directement exportée vers le panier de I’Industry 
Mall ou du catalogue CA 01. 


Avec TIA Selection Tool, vous pouvez sélectionner et configurer les composantes de 
communication industrielle et les logiciels SIMATIC S7, SIMATIC ET 200, SIMATIC IHM, 
SIMATIC IPC. Vous pouvez également créer des réseaux PROFIBUS et PROFINET, configurer 
leur topologie et sélectionner les cables et connecteurs nécessaires. 
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4.2.1. CPU-F dans TIA Portal 


Navigateur du projet 
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Ajouter un appareil 


Vous pouvez créer un nouvel appareil dans le projet avec I’éditeur « Appareils & Réseaux » soit 
via longlet « Catalogue du matériel », soit via option « Ajouter un appareil » du Navigateur du 
projet. 


Lors de la création d’un nouvel appareil, un chkssis adapté est automatiquement créé. L’appareil 
sélectionné est enfiché au premier emplacement autorisé du chassis. 


Indépendamment du chemin choisi, l'appareil ajouté est visible dans la Vue des appareils et la 
Vue du réseau de |’éditeur « Appareils & Réseaux ». 
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4.2.2. Sécurité intégrée (Failsafe) et temps de surveillance PROF Isafe (centralisé) 


Mon_Projet_Safety * PLC_1 [CPU 1573F-1 PN] 
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YW — Module 
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> Général ~~ F-activation 
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> nerfece PROPMET IX? 
Nese en route 

Cycle 
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SIMA RC Memory Card 
> Crxegnosse systérne 4 
Messege: AM 


Seneur Wed ‘ a! g 
9 ‘ i 
| 

50 m| J 


Activation des fonctions de sécurité 


Pour pouvoir charger un programme de sécurité dans la CPU, il faut cocher la case « F-capability 
activated » (fonctions de sécurité activées). Cette option constitue également une condition 
préalable indispensable au mode sécurité de la CPU (Failsafe). Elle est activée par défaut. Si elle 
est désactivée, un programme standard peut continuer a étre chargé dans la CPU, mais pas un 
programme de sécurité. 


Temps de surveillance par défaut pour la périphérie centralisée 


Le temps de surveillance par défaut a une incidence sur la périphérie de sécurité centralisée, qui 
est montée a cété de la CPU de sécurité (CPU F). Vous pouvez définir ce parametre dans les 
propriétés de la CPU F (sélection de la CPU F, puis « Propriétés > Failsafe > F-parameters »). 


Le temps de surveillance de sécurité est le temps de surveillance PROF lsafe pour la 
communication de sécurité entre la CPU et les modules de signal du chassis central. Si la 
périphérie ne recoit aucun télégramme de sécurité valide de la CPU F durant le temps de 
surveillance parameétré, le module F est passivé et une « erreur de communication » est générée. 


Le temps de surveillance PROF lsafe peut au choix étre défini manuellement, de maniére 
spécifique pour chaque module, ou de maniére centralisée pour tous les modules de périphérie 
de sécurité, via les paramétres de sécurité de la CPU. 
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4.2.3. | Types d’adresse PROF Isafe 


Adresses PROF Isafe type 1 Adresses PROF Isafe type 2 


Pour modules de sécurité ET 2008S, Pour modules de sécurité ET 200SP, ET 200MP 
ET 200eco, ET 200pro, ET 200iSP et et F-SM S7-1500 : 
F-SM S7-300 : 


- L'unicité de l'adresse PROF Isafe 


ore est assurée par la combinaison de 
Périphérie F l'adresse source et de l’adresse 


Adressage type 2 cible. 


— Vous devez définir l’adresse 
cible sur la périphérie de sécurité 
via un micro rupteur DIP avant de 
monter la périphérie. Vous pouvez 
attribuer au maximum 1022 
adresses cibles de sécurité 
différentes. - Les adresses cibles de toutes 
les périphéries de sécurité ne 


- Les adresses cibles de toutes les : : pnaids 
doivent rtre uniques qu’a |’échelle 


périphéries de sécurité doivent 


: Serre seey -—- de la CPU. 
rtre pnlledues a lintérieur d'une 
mrme configuration, c’est-a-dire a 
l'échelle de la CPU et du réseau 
(en intégrant, le cas échéant, les Périphérie F - Les adresses sources des 


CPU de sécurité ne doivent étre 


adresses cibles des périphéries de 5 ice 2 
uniques qu’a |’échelle du réseau. 


sécurité de type PROF Isafe 2). 
- Ladresse source n’a pas 

d’incidence sur l’unicité de 

ladresse PROF Isafe. 


Adressage type 1 


Définir la plage d’adressage cible pour la périphérie de sécurité : adresses PROF Isafe type 1 


Avec les parametres « Limite inférieure des adresses cibles F » (Low limit for F-destination 
adresses) et « Limite supérieure des adresses cibles F » (High limit for F-destination adresses), 
vous définissez pour la CPU une plage dans laquelle l’adresse cible sera automatiquement 
attribuée aux nouveaux modules de sécurité enfichés (adresses PROF lsafe type 1). Une 
nouvelle adresse cible ne figurant pas encore dans la plage d’adressage cible est également 
attribuée lorsque vous affectez un nouvel esclave DP/périphérique d’E/S a la CPU F ou lorsque 
vous activez les fonctions de sécurité de la CPU F. 


L’adresse cible est attribuée par ordre croissant a partir de la « Limite inférieure des adresses 
cibles F ». Si aucune adresse cible libre n’est disponible dans la plage d’adressage cible, la 
prochaine adresse cible libre en dehors de la plage d’adressage cible est attribuée et un 
message d’avertissement s’affiche lors de la compilation. 


L’adresse cible maximale possible pour les modules de sécurité ET 200S, ET 200eco, ET 
200pro, ET 200iSP et F-SM S7-300 est 1022. Les adresses cibles pour la périphérie de sécurité 
- adresses PROFIsafe type 1 - doivent étre univoques a |’échelle du réseau et de la CPU. En 
choisissant différentes plages d’adressage cible pour différentes CPU F, vous pouvez définir 
différentes plages pour Il’attribution automatique de l’adresse cible. Cela peut rtre utile lorsque 
vous exploitez plusieurs CPU F sur un réseau. La modification manuelle des adresses est 
possible ultérieurement. 


Exemple : 

Vous avez paramétré la plage d’adressage cible comme suit : 
* Limite inférieure des adresses cibles F = 100 

¢ Limite supérieure des adresses cibles F = 199 


Lorsque la premiére périphérie de sécurité - adresse PROFlsafe type1- est montée, l’adresse 
cible 100 lui est attribuée. Si une périphérie de sécurité supplémentaire - adresse PROF lsafe 
type 1- est enfichée sur le chkssis, c’est l'adresse cible 101 qui lui est alors attribuée. 
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Définir la plage d’adressage cible pour la périphérie de sécurité : adresses PROF Isafe type 2 


L’adresse cible de la périphérie de sécurité - adresse PROFlsafe type 2 - est automatiquement 
attribuée pour chaque CPU F par ordre décroissant a partir de 65534. La limite inférieure est la 
valeur définie dans « Limite supérieure des adresses cibles F » (pour la périphérie de sécurité 
avec une adresse type 1) + 1. 


Lorsque la valeur paramétrée avec le paramétre « Limite supérieure des adresses cibles F » est 
atteinte, un message d’avertissement s’affiche lors de la compilation. 
Définir l'adresse source pour la périphérie de sécurité : adresses PROF Isafe type 2 


Le paramétre « Adresse source F centrale » (central F-source address) permet de définir 
adresse source pour la périphérie de sécurité - adresse PROF Isafe type 2 - affectée a la CPU F. 
L’adresse source doit rtre univoque a |’échelle du réseau. 
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4.2.3.1. | Configuration d’installation - Exemple 1 
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La liaison entre les deux sous-ensembles de l’installation s’effectue via l’interface PN X1 sur 
chaque CPU F. Les deux CPU F sont configurées en tant que contréleur d’E/S et commandent 
une périphérie de sécurité connectée via le deuxiéme port de X1. 


Description de la configuration du réseau 


La configuration se compose d’un réseau, chaque CPU F pouvant échanger des données avec 
chacun des participants PROFlsafe via X1. La périphérie de sécurité centralisée ne peut étre 
commandée que via la CPU F correspondante. Elle doit étre prise en compte pour l’adressage 
univoque PROFIsafe a |’échelle de la CPU. 


Adresse PROFIsafe type 2 


Les périphéries de sécurité des stations ET 200SP appartiennent au type d’adresse 2. Les 
adresses PROF Isafe obéissent aux régles suivantes : 


¢« Les adresses sources des CPU F doivent rtre univoques a |’échelle du réseau et 


¢ les adresses cibles F de la périphérie de sécurité doivent rtre univoques a |’échelle de la 
CPU. 


Comme la CPU F 1 et la CPU F 2 sont sur le méme réseau et que leurs adresses sources 
doivent rtre univoques a |’échelle du réseau, celles-ci doivent rtre différentes. Comme |l’adresse 
cible des périphéries ET 200SP ne doit rtre univoque qu’a |’échelle de la CPU, les adresses 
cibles de la périphérie peuvent étre identiques dans les deux sous-ensembles de l’installation. 
L’unicité a l’échelle de la CPU concerne les CPU F qui possédent la mrme adresse source F que 
la station périphérique ET 200SP correspondante. 


Adresse PROFIsafe type 1 


Les périphéries de sécurité des stations ET 200SP et des variateurs SINAMICS appartiennent au 
type d’adresse 1. L’adresse source ne participe pas a l’unicité de l’adresse PROF Isafe. Les 
adresses cibles de la périphérie de sécurité doivent donc rtre univoques a |’échelle de la CPU et 
du réseau. 
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Adresses PROF Isafe de la périphérie de sécurité centralisée 


La périphérie de sécurité enfichée sur le chassis central (périphérie centralisée) doit posséder 
des adresses cibles univoques au sein de la CPU F correspondante. L’unicité a |’échelle de la 
CPU englobe la périphérie centralisée et la périphérie décentralisée accessible. 


Pour la configuration représentée sur la figure ci-dessus, cela signifie : 


Les adresses cibles F 1001 et 1002 du chassis contenant la CPU F 1 sont uniques a |’échelle de 
la CPU et se distinguent des adresses PROF Isafe du réseau formé via X1. Il n’y a pas de 
chevauchement d’adresses avec la périphérie F centralisée de CPU F 2, car la CPU F 2 ne 
réalise pas de routage entre X1 et le bus de fond de panier. 


Les mémes principes s’appliquent aux adresses cibles F 1001 et 1002 du chkssis contenant la 
CPU F 2. 
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4.2.3.2. | Configuration d’installation - Exemple 2 


PC 
F source address: 100 F source address: 100 
| | ’ 


F source address: 100 


F destinaton address 
1001/1002 


cc SE itettttdadddatadtal | 


F source address: 100 


F destination address 
1003/1004 


F source address: 100 


F destination address: 


POP SSP SERED Re teense eee sense, 


F destination address: 
311005/1006 1005/1006 


— SEESSEESSESESSSEES SES SS SES SS ED — = 


Les deux CPU F sont configurées en tant que contréleur d’E/S et possédent une périphérie F 
subordonnée connectée via X1. La liaison entre les deux CPU s’effectue au moyen d’une 
communication I-Device via l’interface PN X2 (a partir du firmware 2.0). 


Description de la configuration du réseau 

La configuration se compose, dans la situation initiale décrite au Chapitre 3, de trois réseaux : 

¢ Périphérie de sécurité connectée a l’interface X1 de la CPU F 1 

¢ Périphérie de sécurité connectée a l’interface X1 de la CPU F 2 

Liaison PN-IO entre la CPU F 1 et la CPU F 2 via l’interface X2 

La périphérie de sécurité centralisée ne peut étre commandée que via la CPU F correspondante. 

Elle doit rtre prise en compte pour l'adressage univoque PROF Isafe a |’échelle de la CPU. 
Adresse PROFIsafe type 2 


Les périphéries de sécurité des stations ET 200SP appartiennent au type d’adresse 2. Les 
adresses PROF Isafe obéissent aux régles suivantes : 


« L’adresse source de la CPU F doit 6étre univoque a |’échelle du réseau et 
¢ L’adresse cible de la périphérie de sécurité doit étre univoque a |’échelle de la CPU. 


La CPU F ne réalisant pas de routage entre les interfaces X1 et X2, les deux CPU F peuvent 
posséder des adresses sources identiques. Il est neanmoins recommandé d’utiliser des adresses 
sources différentes. L’utilisation d’adresses différentes est obligatoire lorsqu’une périphérie de 
sécurité devant étre affectée a une CPU F est connectée via l’interface X2. 


Comme l’adresse cible des périphéries ET 200SP ne doit rtre univoque qu’a I’échelle de la CPU, 
les adresses cibles de la périphérie peuvent étre identiques dans les deux sous-ensembles de 
linstallation. 
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Adresse PROFIsafe type 1 


Les périphéries de sécurité des stations ET 200SP et des variateurs SINAMICS appartiennent au 
type d’adresse 1. L’adresse source ne participe pas a l’unicité de l’adresse PROF lsafe. Les 
adresses cibles de la périphérie de sécurité doivent donc rtre univoques a |’échelle de la CPU et 
du réseau. 


Aucun routage n’étant réalisé entre les interfaces X1 et X2, les adresses cibles peuvent étre 
identiques dans les deux sous-ensembles de l’installation. 


Adresses PROF Isafe de la périphérie de sécurité centralisée 


La périphérie de sécurité enfichée sur le chassis central (périphérie centralisée) doit posséder 
des adresses cibles univoques au sein de la CPU F correspondante. L’unicité a |’échelle de la 
CPU englobe la périphérie centralisée et la périphérie décentralisée accessible. 


Pour la configuration représentée sur la figure ci-dessus, cela signifie : 


Les adresses cibles 1001 et 1002 du chkssis contenant la CPU F 1 sont uniques a |’échelle de la 
CPU et se distinguent des adresses PROF lsafe du réseau formé via l’interface X1. Aucun 
routage n’étant réalisé au niveau de la CPU F 2 entre les interfaces X1 et X2, la CPU F 1 ne peut 
pas accéder a la périphérie de sécurité affectée ala CPU F 2. 


Il n’y a pas de chevauchement d’adresses de la périphérie de sécurité de la CPU F 1 avec la 
périphérie de sécurité centralisée de la CPU F 2, car aucun routage n’est réalisé au niveau de la 
CPU F 2 entre le bus de fond de panier et l’interface locale X2. 


Les mrmes principes s’appliquent aux adresses cibles 1001 et 1002 du chkssis avec la CPU F 2. 
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Temps de surveillance PROFlsafe (décentralisé) 


Mon_Projet_Safety » PLC_1 [CPU 1513F-1 PN] ~F 8X 
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Adresses Ethernet 
Synchronaation de l'heure 
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Temps de surveillance F par défaut pour la périphérie décentralisée 


4-14 


Le temps de surveillance par défaut pour la périphérie de sécurité de cette interface (Default F- 
monitoring time for F-I/O of this interface) a une incidence sur l'ensemble de la périphérie 
affectée a cette interface de la CPU F (PROFIBUS ou PROFINET). Vous pouvez modifier ce 
parameétre dans les propriétés de l’interface correspondante (sélection de l’interface dans |’onglet 
« Vue d’ensemble des appareils », puis « F-parameters » - paramétres de sécurité). 


Grace aux différentes possibilités de paramétrage, vous pouvez adapter le temps de surveillance 
aux conditions de votre systéme de sécurité, par ex. pour tenir compte des différents cycles de 
bus. 


Le temps de surveillance est le temps de surveillance PROF Isafe pour la communication de 
sécurité entre la CPU F et la périphérie décentralisée. Si la périphérie de sécurité ne regoit aucun 
télégramme de sécurité valide de la CPU F durant le temps de surveillance paramétré, le module 
de sécurité est passivé et une « erreur de communication » est générée. 


Le temps de surveillance peut étre défini manuellement, de maniére spécifique pour chaque 


module, ou de maniére centralisée pour tous les modules de périphérie via les paramétres F de 
la CPU. 
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4.2.5. Protection de la CPU par mot de passe 
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Niveaux de protection 


Les niveaux de protection suivants permettent de définir les droits d’accés (en lecture/en écriture) 
du systéme de programmation ala CPU : 


« Accés complet, y compris failsafe (pas de protection) : > réglage par défaut sur les CPU F 
L’accés en lecture et en écriture est toujours autorisé. 


« Accés complet (pas de protection) : — réglage par défaut sur les CPU standard 
L’accés en lecture est toujours autorisé, l'accés en écriture n’est possible que vers le 
programme standard. 


* Accés en lecture : — protection contre |’écriture, acces possible uniquement en lecture 
Sans entrée d’un mot de passe, aucune donnée ne peut rtre modifiée dans la CPU, de 
mrme qu’aucun bloc ni aucune configuration matérielle ou paramétrage modifiés ne peut étre 
chargé dans la CPU. 


¢« Acces IHM : = protection contre |’écriture et la lecture pour STEP7 
Aucun accés en écriture et en lecture n’est possible a partir du systeme d’ingénierie. Seuls 
peuvent étre affichés dans le Navigateur du projet, sous « Abonnés accessibles », le type de 
la CPU et les données d’identification. L’affichage d’informations en ligne ou de blocs sous « 
Abonnés accessibles » n’est pas possible sans |’entrée d’un mot de passe. 


« Aucun accés (protection compléte) : > protection générale contre |’écriture et la lecture pour 
STEP7 et appareils IHM. L’accés aux appareils HMI du réseau n’est a présent plus possible 
sans mot de passe configuré. 


Autorisation d’accés par mots de passe 


Dans l’exemple représenté ci-dessus, l’option « Aucun accés (protection compléte) » est 
sélectionnée. Sans mot de passe, STEP7 et les appareils IHM (pupitres opérateur) ne peuvent 
accéder ni en lecture ni en écriture a la CPU. II est toutefois possible de supprimer les niveaux de 
protection décrits ci-dessus en entrant les mots de passe correspondants : 


« L’entrée du mot de passe (4) permet a un appareil IHM d’accéder a nouveau en lecture et en 
écriture ala CPU ; l’accés en lecture et en écriture est interdit a STEP7. 


« L’entrée du mot de passe (3) permet a un appareil IHM d’accéder a nouveau en lecture et en 
écriture ala CPU ; l’accés en lecture est autorisé a STEP7, mais pas l’accés en écriture. 
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Autorisation d’accés par mots de passe 


« L’entrée du mot de passe (2) permet a un appareil IHM comme a STEP7 d’accéder en lecture 
et en écriture au programme standard de la CPU. 


« L’entrée du mot de passe (1) permet a un appareil IHM comme a STEP7 d’accéder en lecture 
et en écriture a la CPU. 
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4.3. 


Configurer une station périphérique ET 200SP 
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Configurer une station périphérique de sécurité 


La configuration des modules de sécurité ET 200SP, ET 2008S, ET 200eco, ET 200pro, ET 
200iSP et des modules de signaux SM S7-300 s’effectue dans STEP7 de la maniére habituelle. 


Apres avoir inséré la station périphérique de sécurité dans la fenétre de travail de la « Vue des 
appareils » ou « Vue du réseau », vous accédez aux boites de dialogue pour la configuration en 
sélectionnant la périphérie concernée et en cliquant sur l’onglet « Propriétés ». 
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4.3.1. Sélectionner l’unité de base 
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Sélection de l’unité de base 
ll existe différentes unités de base (BaseUnits) pour la station périphérique décentralisée ET 
200SP. La BaseUnit définit notamment l’interconnexion avec le processus, le module 
périphérique enfichable et l’alimentation en tension. 

Configuration maximale d’un groupe de potentiel 


Le nombre de modules de périphérie utilisables par groupe de potentiel dépend des facteurs 
suivants : 


1. Consommation totale de tous les modules de périphérie exploités sur ce groupe de potentiel 
2. Consommation totale de toutes les charges externes connectées a ce groupe de potentiel 
La somme du courant total calculé selon les points 1 et 2 ne doit pas dépasser 10 A. 


Bornes AUX 


Les BaseUnits avec bornes AUX additionnelles (par ex. BU15-P16+A10+2D) permettent de 
connecter un potentiel supplémentaire (jusqu’a la tension d’alimentation max. du module) que 
vous appliquez via la barre AUX. 


Sélection de la BaseUnit adaptée 


Les BaseUnits (BU) sont classées en différents types. Chaque type de BaseUnit se distingue par 
des caractéristiques adaptées a des modules de périphérie déterminés. Le type de BaseUnit est 
identifiable aux deux derniers caractéres de la référence d’un module de périphérie, par ex. 

4 FDO / 6ES7136-6DB00-0CA0 / BaseUnit de type AO. 
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4.3.2. _ Unité de base pour le module de puissance et le module a relais 


Module de puissance Module a relais 
F-PM-E PPM 24VDC/8A F-RQ 1x24VDC/24..230VAC/5A 


= 


Sélection de l’unité de base 


Lors de la mise en service, veillez a ce que le module de puissance ne soit utilisé qu’avec une 
BaseUnit de type CO. 
Remarque 


La BaseUnit a été correctement sélectionnée si les deux derniers caractéres de la 
référence/MLFB du module figurent aussi dans la référence/MLFB de la BaseUnit. 
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4.3.3. ET 200SP avec modules de sécurité et modules standard 


Module d'imertace IM 155-6 PN HF 


Moxtule F 

Module non de sécurité 

Moxtule de puissance F-PM-E 24VDC/8A PPM ST 

Groupes de potential de sécurité et non de sécurité mélangés avec les BaseUnk BUI5..D at 
BUI5..B. 

Vous atteignez SIL3/cat.4/PLe pour les modules de sécurité. 

Groupe de potentel non de sécurité avec les BaseUnit BU15..D et BU15_B 

Groupe de potentiel de sécurité avec BaseUnit BU20..D et BU15..B. 

8 est possible d'atteindre SIL2/cat.4/PLd en désactivant la barre dalimentation et donc les 
modules non de sécurité 

Module serveur 

Barres d'alimentation P /P2 


ET 200SP avec modules de sécurité et modules standard 


Vous pouvez configurer la station périphérique ET 200SP avec des modules de sécurité et des 
modules standard. Il n’est en principe pas nécessaire d’exploiter les modules de sécurité et les 
modules standard dans des groupes de potentiel séparés. 


TIA SAFETY - Station de travail et configuration matérielle 
4-20 Documents de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


4.3.4. Parametres de la station périphérique de sécurité 


4.3.4.1. Groupe de potentiel 
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Groupe de potentiel 


Sur la station périphérique décentralisée ET 200SP, les groupes de potentiel créés dépendent de la 
disposition des unités de base (BaseUnits). 


Pour la formation de groupes de potentiel, la station ET 200SP distingue deux BaseUnits : 


* les BaseUnits BU...D (reconnaissables a la boite a bornes claire et au déverrouillage clair du 
profilé support) : 
— Ouverture d’un nouveau groupe de potentiel (la barre d’alimentation et la barre AUX sont 

interrompues a gauche) 

- Tension d’alimentation L+ jusqu’a un courant d’alimentation de 10 A 

« BaseUnits BU...B (reconnaissables a la boite a bornes foncée et au déverrouillage foncé du 
profilé support) : 
— Prolongement du groupe de potentiel (barre d’alimentation et barre AUX non interrompues) - 
Prélevement de la tension d’alimentation L+ pour des composants externes ou 
- Rebouclage avec un courant total maximal de 10 A 
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4.3.4.2. Paramétres généraux de sécurité 


Les paramétres généraux de sécurité sont identiques pour tous les modules 
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> Général 


Groupe de potentel 
> Paramétres Ges modules | 
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Adresses E/S Fenonitoring time : 
1D marine! Fsource address ° 


F-parameters 


37758 
Passivete channel 
No —_ 
2 Vi mode 

Loop-back extension (LF) 
[| F200 08 manual number assignment 


F4I0 D8-mumber: 30003 }o 


Parametres généraux de sécurité (F-parameters) 


L’onglet « F-parameters » permet de procéder au paramétrage de la communication de sécurité 
du module avec la CPU F. 


Adresses cibles 


Il s'agit des adresses PROF Isafe servant a l’identification claire de la source (CPU F) et de la 
cible (module F). Les adresses PROF lsafe doivent étre définies de maniére univoque a |’échelle 
de la station et du réseau. Afin d’éviter un mauvais paramétrage, l’adresse cible est 
automatiquement attribuée. En cas de modification manuelle de l’adresse cible F, son unicité a 
échelle de la station est automatiquement vérifiée, mais pas son unicité a l’échelle du réseau. 
C’est a l'utilisateur de s’en assurer par lui-méme. 


Temps de surveillance F [ms] 


Il s’agit du temps de surveillance PROFlsafe pour la communication de sécurité entre la CPU F et 
la périphérie F. Si la périphérie F ne regoit aucun télégramme de sécurité valide de la CPU F 
durant le temps de surveillance paramétré, le module F est passivé et une « erreur de 
communication » est générée. Le temps de surveillance peut étre défini manuellement, de 
maniére spécifique a chaque module, ou de maniére centralisée pour tous les modules de 
sécurité via les paramétres F de la CPU. 


Comportement en cas de défaut sur un canal 


A partir de S7 Distributed Safety V 5.4, le comportement des modules périphériques de sécurité en 
cas de défaut sur un canal (par ex. court-circuit, surcharge, erreur de discordance, rupture de fil) est 
configurable. Si la périphérie de sécurité prend en charge ce parametre (par ex. pour les modules 
F ET 200SP, ET 2008), il est possible de définir si le module entier doit étre passivé, ou si ce sont 
les canaux défectueux qui doivent étre passivés. 
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4.3.5. | Montage et adressage d’un module de périphérie de sécurité ET200SP/MP 


ET 200S ET 200SP ET 200MP 


F parameters 


F parameters 


F-source address 
steeseeeeeeee 


Adresse PROF Isafe type 1 Adresse PROF Isafe type 2 


Adresse cible pour les modules de sécurité 


L’adresse cible est mémorisée de maniére permanente sur |’élément de codage des modules de 
sécurité ET 200SP. Lors de l’attribution de l’adresse cible, le module doit rtre alimenté par la 
tension d’alimentation L+. 


Remarque importante concernant le contréle de configuration : 


Avant de pouvoir utiliser le contréle de configuration avec les modules de sécurité, vous devez 
affecter l’adresse cible aux modules situés aux emplacements prévus. Les modules de sécurité 
doivent pour ce faire étre enfichés aux différents emplacements configurés. La configuration 
physique pourra ensuite étre différente de celle configurée. 
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4.3.6.  Attribuer une adresse de sécurité 
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Attribuer une adresse de sécurité 


Les modules de sécurité ET 200SP ne possédent pas de microrupteur DIP permettant d’attribuer 
une adresse cible univoque a chaque module. L’adresse PROF Isafe est attribuée directement a 
partir de STEP 7. L’adresse cible F se paramétre dans la configuration matérielle du module F. 
L’adresse source correspond, pour les configurations prises en charge, au paramétre « Base 
pour adresses PROF Isafe » de la CPU F correspondante. Une attribution est également 
nécessaire dans les cas suivants : 


Enfichage ultérieur d’un module F lors de la premiére mise en service 
Réparation de ET 200SP 

Remplacement de la BaseUnit 

Mise en service d’une machine de série 

Modification de l’adresse cible F 


Modification du paramétre « Base pour adresses PROF Isafe » de la CPU F correspondante 
(modifie adresse source F) 


Une nouvelle attribution de l’adresse n’est pas nécessaire dans les cas suivants : 
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Mise hors tension/sous tension 
Remplacement d’un module de sécurité (réparation) sans PG/PC 
Modification de la configuration lorsqu’une nouvelle BaseUnit est insérée avant un module F 


Réparation/remplacement du modul 
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4.3.7. Identifier les modules de sécurité 


Identifier les modules de sécurité 


En cliquant sur le bouton « Identification », vous confirmez l’exactitude des adresses pour la 
périphérie de sécurité. Lors de la confirmation de la périphérie de sécurité par le clignotement 
des LED ou par le numéro de série du module d’interface, les conditions suivantes doivent étre 
remplies : 


« La station ET 200SP est configurée. 

¢ Laconfiguration a été chargée dans la station ET 200SP. 
* La station ET 200SP est accessible en ligne. 

« Identifier par clignotement des LED » 


Il s'agit du paramétrage par défaut. Lors de l’identification, les LED DIAG et STATUS des 
modules a identifier clignotent. 


« Identifier par numéro de série » 


Si vous n’avez pas les modules de sécurité sous les yeux, vous pouvez les identifier via le 
numéro de série du module d’interface. 
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4.3.8.  Attribuer une adresse cible 


Ss 


Attribuer une adresse cible 


Pour attribuer l’adresse cible, vous devez confirmer la boite de dialogue « Confirmer attribution » 
dans un délai de 60 secondes. 
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4.3.9. Etat de l’'adresse cible 
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4.4. Configurez un IO device avec la detection de materiel 
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Vous avez la possibilité de détecter un module de périphérie d'E/S et de I'importer dans votre 
projet grace a la fonction « Détection de matériel ». Un périphérique détecté peut étre importé 
dans votre projet STEP7 avec tous les modules et sous-modules. 


Pré-requis 
¢ STEP 7 (TIA Portal) a partir de V15 


« L’accés au module doit étre techniquement réalisable 


Résultat de la detection de matériel 
Un module d'E/S configuré par détection de matériel se comporte comme suit : 


* Les modules configurés via la « détection de matériel » sont configurés comme s'ils avaient 
été insérés a partir du catalogue. 


¢« STEP 7 intégre l'adresse MAC du périphérique d'E/S détecté au projet. 


« Pramétres IP : 
- Si le périphérique d'E/S détecté posséde déja une adresse IP, STEP 7 applique l'adresse 
IP au projet. 
- Si le périphérique d'E/S détecté n'a pas d'adresse IP, STEP 7 attribue automatiquement 
une adresse IP au projet. 
« Noms des modules PROFINET: 
- Si le périphérique d'E/S détecté posséde déja un nom de périphérique PROFINET, STEP 7 
applique le nom de périphérique PROFINET au projet. 
- Si le périphérique d'E/S détecté ne posséde pas de nom de périphérique PROFINET, 
STEP 7 attribue automatiquement un nom de périphérique PROFINET dans le projet. 


¢ Les périphériques d'E/S configurés via la « Détection de matériel » ne sont ni affectés a un 
sous-réseau IP ni a un contréleur. 
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4.4.1. Contréle de configuration (traitement des options) pour la station 
périphérique de sécurité 


Projet maitre 


Option 1 


Lam am 


Pour le contréle de configuration (traitement des options) avec des modules I/O F procédez 
comme avec les modules I/O standards. Des informations détaillées sont disponibles dans l'aide de 
Step7 sous « Conitréle de configuration (traitement des options) ». Vous trouvez également un 
exemple d’application dans l'article ID : 54110126). 
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Enoncé 
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Enoncé : Créer un projet et une station matérielle 
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{PMnt_) 


Vous devez créer la configuration matérielle pour la CPU et ET 200SP dans un nouveau projet. 


Marche a suivre 
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Ce que vous devez faire sera expliqué dans les pages suivantes. 
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4.5.1. Exercice 1 : Définir l’adresse IP de la PG 
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Enoncé et marche a suivre : 
1. Connectez un cable Ethernet a l’interface de la PG et a la connexion « P1 ou P2 » de la 
station de travail. 


2. Attribuez l'adresse IP 192.168.111.X et le masque de sous réseau 255.255.255.0 a cette 
interface. Procédez comme indiqué dans la vue. 


Note! 
Si vous utilisez une VM, définissez uniquement l’interface dans la VM. Ne changer rien a 


linterface de I’hdte! 
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4.5.2. Exercice 2 : Effacer la carte mémoire SIMATIC (SMC) 


AutoPlay PS lee! Bs 
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Enoncé 


Pour effacer complétement la CPU, vous devez aussi effacer la carte mémoire SIMATIC (SMC) 
de la CPU. 


Marche a suivre 


1. Insérez la carte mémoire SIMATIC dans le lecteur de carte de la PG, contacts orientés vers le 
haut. S’il s’agit d’une console de programmation SIMATIC Field PG de type MX, celui-ci 
dispose de deux lecteurs de cartes. Utilisez le lecteur de gauche pour la carte mémoire 
SIMATIC. 


2. Effacez la carte mémoire SIMATIC. Une boite de dialogue Windows s’ouvre pour |’ouverture 
de l’explorateur Windows. Si vous travaillez avec une VM, la SMC n'est détecté que dans 
I'héte et NON dans la VM. Ouvrez le dossier. Selon le paramétrage de |’explorateur Windows, 
les fichiers cachés sont visibles ou masqués. 


Attention ! 
Si les fichiers cachés sont visibles, ils ne doivent en aucun cas étre supprimés. Supprimez le 
répertoire SIMATIC et le fichier de taches (JOB). 


3. NE REMETTEZ PAS la carte mémoire SIMATIC dans la CPU. Fermez la fenétre de 
’'explorateur Windows et retirez la carte mémoire de la PG aprés avoir activé la fonction 
Windows « Retirer le périphérique en toute sécurité ! ». 
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4.5.3. Exercice 3 : Réinitialiser la CPU et effectuer un redémarrage 


= 1. Placez le sélecteur de mode sur STOP 
STOP 


2. Maintenez le sélecteur de mode sur MRES jusqu’a 
ce que la LED RUN/STOP clignote 2x lentement 


puis relachez le sélecteur de mode 


ans les 3s II! 


3. Maintenez le sélecteur de mode sur MRES jusqu’a 
ce que la LED RUN/STOP commence a clignoter 
rapidement 


puis relachez le sélecteur de mode et attendez que la 
CPU ait terminé la réinitialisation 


4. Réinsérez la_carte mémoire et placez le sélecteur 
de mode sur RUN. La CPU redémarre. 


— réinitialisation aux paramétres usine 


Apres avoir effacé la carte mémoire SIMATIC de la CPU lors du précédent exercice, vous devez 
a présent réinitialiser la CPU aux paramétres usine. Vous devez pour ce faire effectuer un 
effacement général sans carte mémoire SIMATIC. 


Marche a suivre 


1. Effectuez directement l’effacement général sur la CPU selon les étapes indiquées dans la 
figure. 


2. Redémarrez la CPU en faisant passer le sélecteur de mode de STOP a RUN. 


Résultat : 
« La CPU reste a l’état STOP, car aucun programme utilisateur n’est chargé. 


« Les modules périphériques signalent par un clignotement vert qu’ils ne sont pas paramétrés. 
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4.5.4. Exercice 4 : Créer un nouveau projet 


TA Siemens - D:\Projet_TlAportal\Mon_projet_Traduit\Mon_projet_Traduit 


Totally Integrated Automation 


Démarrer Créer un projet 


fer: [Mon Projet 


Ouvrir le projet existant 


in: | D:\Projets_Stagiaires_TA_Portal = 


Créer un projet 


Migrer le projet 3 
Commentaire = 


Fermer le projet 


Présentation de bienvenue 


Mise en route 


Logiciels installés 


Aide 


Langue de linterface 


> Vue du projet Projet ouvert : D:\Projet_TlAportal\Mon_projet_Traduit\Mon_projet_Traduit 


Enoncé 


Créez un nouveau projet TIA Portal. 


Marche a suivre 
1. Ouvrez le TIA Portal. 


2. Créez un nouveau projet nommé « Mon_Projet » dans le dossier 
D:\Projets_Stagiaires_TIA_Portal. 
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4.5.5. _Exercice 5: Vérifier les paramétres du projet 
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Enoncé 


Vérifiez les paramétrages du projet pour STEP7 Safety. 


Marche a suivre 


1. Allez dans les propriétes du projet relatives a la sécurité. 
« Outils » -> « Paramétres » -> « STEP 7 Safety ». 


2. Activez « Generate default fail-safe program ». 


3. Ouvrez les réglages des langues du projet. 
« Navigateur de projet » -> « Langues & Ressources » -> « Langues du projet » 


Activez Anglais (USA), t Francais (France) et Allemand. 
Retenez Francais comme langue d’édition et Anglais comme langue de référence. 


6. Enregistrez votre projet 
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Exercice 6 : Créer une station S7-1500F 
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Créez une nouvelle CPU S7-1513- F en assurant que la version de firmware corresponde a celle 
de votre automate de travail. 


Marche a suivre 
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1. Récupérez la version du Firmware de votre CPU. Vous pouvez y accéder directement via 
l'afficheur de la CPU ou via la fonction En ligne du TIA Portal. 


Note : Si vous voulez récupérer la version du Firmware via la fonction En ligne du TIA Portal, 
la CPU nécessite l’affectation d’une adresse IP ! 


2. Activez l’option « Ajouter un appareil ». 
3. Sélectionnez la CPU et le firmware correspondant a votre CPU. 
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Exercice 7 : Propriétés de la CPU - Adresse IP et nom PROFINET 
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Enoncé 


Attribuez un nom PROFINET et une adresse IP a la CPU. 


Marche a suivre 


1. Allez dans la Vue du projet. 


. Double-cliquez sur la « Configuration d’appareils » de la CPU. 


2 
3. Sélectionnez la CPU dans la Vue des appareils. 
4 


. Ouvrez l’onglet « Interface PROFINET » et saisissez l’adresse IP, le masque de sous-réseau 
et le nom d’appareil figurant sur le feuillet joint a la valise. 


Remarque concernant le nom d’appareil : 


Le nom d’appareil peut aussi rtre généré automatiquement. Le nom de l'appareil PROFINET est 
alors repris du nom de la CPU dans l'onglet « Général ». 
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4.5.8. Exercice 8 : ET 200SP - Réinitialiser aux paramétres usine 
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Enoncé 


Tous les paramétres antérieurs (adresse IP, masque de sous-réseau et nom PROFINET) du 
module d’interface et la carte mémoire de la station ET 200SP doivent rtre effacés par une 
« réinitialisation aux paramétres usine ». Dans les exercices suivants, vous transférerez ensuite 
vos propres parametres dans la station ET 200SP 

Marche a suivre 
1. Ouvrez « Accés en ligne » et sélectionnez l’interface connectée. 


2. Double-cliquez sur « Actualiser les abonnés accessibles » et attendez que la liste soit 
complete. 


. Ouvrez ET 200SP et double-cliquez sur la fonction « En ligne & Diagnostic ». 
. Ouvrez l’onglet « Fonctions » dans la fenétre « En ligne & Diagnostic ». 
. Activez « Réinitialiser aux paramétres usine » et validez. 


. Fermez la fenétre « En ligne & Diagnostic ». 


N DO NO FB W 


. Vérifiez que la réinitialisation a été réalisée avec succés dans la fenrtre d’inspection sous 
« Info > Général ». Sous « Abonnés accessibles », vous trouverez également l’ET 200SP 
sans adresse IP et sans nom d’appareil. 


Laissez toutes les fenrtres ouvertes pour l’exercice suivant. 
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4.5.9. Exercice 9 : Détection de ET 200SP 
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Enoncé 


Vous allez récupérer la station ET 200SP dans votre projet. 


Marche a suivre 
1. Selectionnez votre projet. 


2. Démarrez la detection du matériel pour les périphériques PROFINET. 
« En ligne -> Détection de matériel -> Périphériques PROFINET » 


3. Dans le dialogue, recherchez la station ET 200SP sur le réseau. Pour ce faire, sélectionnez 


l'interface PG/PC utilisée et démarrez la recherche. 


4. Retenez la station ET 200SP et ajoutez l'appareil. 
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4.5.10. Exercice 10 : Mettre !ET 200SP en réseau avec la CPU 


TiA_Satfety * Appareils & Réseaux 


* iw Vue lepulogipue [dh Voe du réseau [BY Vuw des appareils Ee e la Vue topologique Ih Vue du séseau liv Vue des 
Nocessccee u JE Saas Spd wise on révene8 Lf Lisisons ~ESABwsae 


ost et2008p 
CP 191987 2 135-6 PP $7-15t9F 
n CPU 1S 135-1 PN 
. eae sees eee ee ee, 
. 


. e « 
Seca eee eee eee eee eee eee ee et 


TIA_Safety > Appareils & Réseaux 
_laF Vue topologique |b Vue du réseau | Vue or” Arareils_ 
22 i/S 4 


@ Réseau 10: $7-1513F. PROFINET O-System (100) 


réseeu [f Liaisons 


$7-1513F et200sp 
CPU 1513-7 PN iM 155-6 PN HE 


$7-1513F =) 


ety 57-1513F PROFINET 10-Sy i 


Enoncé 


Aprés avoir ajouté la station ET200SP, vous devez l’affecter a un contréleur ou la mettre en 
réseau avec une CPU. Seule cette affectation permet de coordonner ou de surveiller les 
adresses d’E/S des contréleurs et des périphériques d’E/S lorsque plusieurs CPU sont 
connectées au réseau. 


Marche a suivre 


1. Sélectionnez la Vue du réseau dans |’éditeur « Appareils & Réseaux », puis l’onglet « Mise en 
réseau ». 


2. Mettez en réseau l’ET 200SP avec la CPU en connectant l’interface Ethernet de lET 200SP a 
interface Ethernet de la CPU par glisser-déposer (vue a droite) ou en l’affectant directement 
ala CPU(vue a gauche). 
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4.5.11. Exercice 11 : Adaptez la configuration de |'ET 200SP 
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Enoncé 


La configuration de lET200SP du projet hors ligne doit correspondre exactement a la 
configuration de votre appareil de travail. Vous devez veiller en particulier a l'exactitude des 
références et des versions des modules. 


L’ET 200SP dispose de modules d’entrée et de sortie TOR. Les adresses d’E/S utilisées dans le 
programme STEP 7 doivent correspondre aux adresses des modules DI/DO paramétrées ici. 


L’affectation d’adresses actuelle figure dans la partie inférieure de la fenrtre de travail de |’éditeur « 
Appareils & Réseaux », sous l’onglet « Vue des appareils » du module. Les adresses peuvent étre 
modifiées dans le tableau. 


Marche a suivre 


1. 
2. 
3. 


Sélectionnez la « Vue des appareils » de ET 200SP dans |’éditeur « Appareils & Réseaux ». 
Ouvrez le « Catalogue du matériel ». 
Configurez la station ET 200SP en fonction de votre appareil de travail. 


N’oubliez pas que les modules des emplacements 4 et 6 ouvrent un nouveau groupe de 
potentiel. 


Ouvrez la « Vue d’ensemble des appareils » et reportez dans le tableau les adresses d’E/S 
indiquées sur la figure ci-dessus. 


Enregistrez votre projet. 
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Exercice 12 : Affecter un nom d’appareil et une adresse IP a la station 
périphérique ET 200SP 
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La station ET 200SP doit fonctionner plus tard avec l’adresse IP, le masque de sous-réseau et le 
nom d’appareil PROFINET figurant sur le feuillet joint a la valise. 


Marche a suivre 
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1. Sélectionnez la « Vue des appareils » de l'ET 200SP dans I’éditeur « Appareils & Réseaux ». 


2. Sélectionnez le module IM de l’emplacement 0 et ouvrez l’onglet « Propriétés » dans la 
fenrtre d’inspection. 


3. Ouvrez la « Vue d’ensemble des appareils » et entrez le nom d’appareil correct (voir feuillet 
joint a la valise). 


4, Sélectionnez ensuite l’onglet « Adresses Ethernet » et entrez l’adresse IP et le masque de 
sous-réseau sous « Protocole IP » (voir feuillet joint a la valise). Vous trouverez également 
sous le méme onglet le « Nom d’appareil PROFINET » que vous avez précédemment édité 
sous l’onglet « Général ». 


5. Affectez également la station ET 200SP au groupe d’appareils « Labeling machine ». 
6. Enregistrez votre projet. 
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4.5.13. Exercice 13 : Affecter un nom d’appareil en ligne a ET 200SP 
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Enoncé 


Le nom d’appareil PROFINET précédemment attribué hors ligne doit a présent rtre attribué en ligne 
a ET 200SP pour que le contréleur d’E/S ou la CPU puisse attribuer a ’ET 200SP, lors du 
démarrage du systéme, l’adresse IP configurée hors ligne. 


Marche a suivre 
1. Sélectionnez la « Vue des appareils » de ET 200SP dans I’éditeur « Appareils & Réseaux ». 
2. Cliquez avec le bouton droit de la souris sur le module d’interface ou le module de 
emplacement 0 et activez l’option « Affecter un nom d’appareil » dans le menu qui apparait. 
4. Vérifiez le nom d’appareil PROFINET (hors ligne) dans la boite de dialogue qui apparait. 
5. Sélectionnez sous « Type d’interface PG/PC » l’interface via laquelle vous rtes connecté au 
PROFINET (voir figure). 


6. Sélectionnez dans la partie inférieure de la boite de dialogue, sous « Abonnés accessibles 
dans le réseau » (en ligne), ET 200SP ou le module d’interface IM156-6, puis cliquez sur 
« Affecter un nom ». 


7. Enregistrez votre projet. 
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4.5.14. Exercice 14 : Compiler la configuration matérielle et la charger dans la CPU 
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Enoncé 
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Procédure de chargement terminée (erreurs : 0; avertissements : 0). 


Une fois le systeme d’E/S PROFINET entiérement configuré et paramétré, le projet doit rtre 
entiérement compilé, enregistré et chargé dans la CPU. 


Marche a suivre 
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1. Compilez la configuration matérielle en sélectionnant la station S7-1500 dans le Navigateur du 
projet, puis en cliquant sur le bouton Compiler (voir figure). Vérifiez dans la fenétre 
d’inspection, sous « Info », si la compilation a été effectuée avec succés. Si des erreurs sont 
apparues, corrigez-les. 


Enregistrez votre projet. 


3. Chargez la station compléte dans la CPU en cliquant sur le bouton Charger (voir figure). 
Vérifiez dans la fenrtre d’inspection, sous « Info », si le chargement a été effectué avec 
succes. 


4. Enregistrez votre projet. 
Résultat : 


L’ET 200SP devrait a présent rtre accessible, mais des erreurs peuvent subsister sur certains 
modules F. 
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4.5.15. Exercice 15:ET 200SP : Attribuer les adresses F 


$7-1513F et200sp 
CPU 1513F-1 PN IM 155-6 PN HE 
st.1St3F . BY Contiguraton des eppereits 
aE) Remplacer l'appareil 
' 
y J 
Semest§7-1513F PROFINET 10-Sy = 


Déeconnmecter du réseau maitre DPiréseau IO 


wv tate en valeur du resesu maitre OPireceau 10 


a alter’ # vue topologaque 
Compiler , 
Charger den eppereil , 
Bw iis on en kgne 
. 
* 
Y% En ligne & Diagnostic CerisD 
alee SBacteturvaae Cape tlle eecccccccenccences 


AMcherc le catalogue Ctri+Ma}+C 


Enoncé 


Les modules de sécurité de la station ET 200SP ne possédent pas de micro-rupteur DIP 
permettant d’attribuer une adresse cible F unique a chaque module. L’adresse PROF Isafe est 
attribuée directement a partir de STEP 7. 


Les adresses de sécurité doivent a présent rtre attribuées en ligne a ET 200SP. L’attribution 
s’effectue via l’identification « par clignotement des LED ». 


Remarque : 
I| peut arriver que l’adresse cible attribuée corresponde par hasard a l’adresse cible que vous 
avez configurée. Si c’est le cas, l’étape 6 ne peut pas rtre réalisée. 
Marche a suivre 
1. Sélectionnez la « Vue des appareils » de ET 200SP dans I’éditeur « Appareils & Réseaux ». 
. Cliquez avec le bouton droit de la souris sur la station ET 200SP. 
. Dans le menu qui apparait, activez l’option « Affecter l'adresse PROF Isafe ». 
. Dans la boite de dialogue qui apparait, cliquez a gauche sur la premiére case « Affecter ». 


. Cliquez enfin sur le bouton « Identification » pour identifier les adresses cibles. 


ona Ff WwW PY 


. Dans la boite de dialogue, cliquez a droite sur la premiére case « Confirmer », puis sur le 
bouton « Affecter l’adresse cible F ». 


7. Apres attribution des adresses cibles, vous pouvez fermer la boite de dialogue. 


Résultat : 


Si des erreurs devaient persister sur les modules, cela est dU au paramétrage non encore adapté 
des canaux des différents modules. 


Le paramétrage correct sera réalisé au prochain chapitre (« Raccordement des capteurs et des 
actionneurs »). 
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5. Raccordement des capteurs et des actionneurs 


1 issue de la formation, le participant au stage 


sera capable d’expliquer comment un capteur doit rtre raccordé 
et le module paramétré 


sera capable d’expliquer comment un actionneur doit rtre raccordé et 
le module paramétré 


connaitra les différentes mesures de détection des erreurs d’un 
module de sécurité 


saura paramétrer les modules d’entrée et sortie de sécurité de 
automate de formation en fonction du ckblage des appareils 
de formation 
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5.1. Vue d’ensemble : raccordement des capteurs aux modules F-DI 


Lecture sur 1 canal du signal Lecture sur 2 canaux du signal 
de process 1001 (1de1) de process 1002 (1de2) 


a | Equivalent 


Pour chaque signal de process, 
un capteur a 2 canaux ou 
deux capteurs a 1 canal son 
raccordés en mode équi 


Un capteur est raccordé via un canal 
(évaluation 1001). Une alimentation capteur 
quelconque du module peut étre affectée a 
chaque entrée. 


Pour chaque signal de process, 
un capteur a 2 canaux ou 


deux capteurs a 1 canal sont 
raccordés en mode antivalent q ! 
a deux entrées du module F. 
Une alimentation externe , 
est également possible. ‘ 


Lors de l’évaluation 1001 (1de1), le capteur n’est présent qu’une seule fois. 


Le capteur peut également étre alimenté 
via une alimentation externe. 


S oe 


Evaluation 1001 (1de1) 


Alimentation du capteur 
L’alimentation du capteur peut s’effectuer de maniére interne ou externe. 


Raccordement du capteur via 1 canal 


Un capteur est raccordé via 1 canal pour chaque signal de process (évaluation 1001 ; 1de1). 

A chaque entrée peut étre affectée une alimentation capteur quelconque du module. Si le test de 
court-circuit n’est pas activé ou si l’alimentation des capteurs est réglée sur « Alimentation 
externe des capteurs » pour les entrées TOR, vous devez poser le cable de maniére a prévenir 
tout risque de court-circuit. 


Evaluation 1002 (1de2), équivalent/antivalent 
Lors de l’évaluation 1002 (1de2) équivalent/antivalent, deux canaux d’entrée sont utilisés par : 
* uncapteur a 2 canaux 
* deux capteurs a 1 canal 


* un capteur antivalent 


Une vérification interne d’égalité (equivalence) ou d’inégalité (antivalence) est effectuée sur les 
signaux d’entrée. 


Notez que deux canaux sont réunis en une paire de canaux lors de I’évaluation 1002 (1de2). Le 
nombre de signaux de process disponibles du module F se réduit en conséquence. 


Schéma de cablage 


Pour chaque signal de process, un capteur a 2 canaux équivalent ou deux capteurs a 1 canal 
détectant la méme valeur de process sont raccordés a deux entrées du module F. 
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5.2. Structure des canaux DI-F (ET 200MP) 


> General 

> Module parameters 

~» inputs 0-15 
General 


Numeros des canaux et MIE pour DI-F 


0-F4 


a 


| 0 8 eR ARR Catala © ma on oa mo F-perameters 
aoe? ha v. Inputs 


TTA eesecsseenscgpereee yf > Sensor supply 


~ Channel parameters 
canaux 2 | 10.2 : 10 | 11.2 » Channel 0,8 
S13 : ie Aes ee 
4 110.4 ’ 12a © Channel 1, 9 
Channel 1 
5 | 10.5 13 | 11.5 Channel 9 
6 110.6 14 111.6 saints 


» Channel 3, 11 

>» Channel 4, 12 

> Channel 5, 13 

> Channel 6, 14 

>» Chennel 7, 15 
VO addresses 


pour son programme (1 10.0 pour canal 0 


Paires et adresses des canaux 


Avec des capteurs a 1 canal et une évaluation 1001, l'appartenance d’un canal a une paire de 
canaux n’a pas d’importance. Chaque canal de la paire de canaux est évalué indépendamment 
de l'autre et posséde sa propre adresse individuelle 


Avec une évaluation 1002, les signaux des capteurs doivent étre cablés avec les canaux du 
module qui peuvent étre évalués par le module comme paire de canaux ou sur lesquels une 
analyse de discordance peut étre effectuée (sur la diapositive ci-dessus : paires de canaux (0,8) 
ainsi que (1,9) et (2,10)). 


Avec une évaluation 1002, une paire de canaux occupe toujours la plus petite adresse d’entrée et 
cest la seule disponible dans le programme. 


TIA-SAFETY + Raccordement des capteurs et des actionneurs 
Document de formation en version V16.00.00 5-5 


3.0 


SIMATIC TIA Portal Safety Advanced 


Structure des canaux DI-F (ET 200SP) 


5-6 


canaux 


> Général 
Groupe de potentiel 
~ Parameétres des modules 
Genéra! 
F-parameters 
~ Di parameters 
> Sensor supply 


wpe : SELEEEEEE EAN SSG emnrer OG. * Channel 0, 4 
“Ate ennee (yagennanenscenseenncennnspeseeger (pager Channel O 


Channel 4 
+ Channel 1,5 
Channel 1 
Channel 5 
¥ Channel 2,6 
Channel 2 
Channel 6 
» Channel 3,7 
Channel 3 
Channel 7 
Adresses E/S 
ID matériel 


pour son programme (1 10.0 pour canal 0 ) 


TIA SAFETY - Raccordement des capteurs et des actionneurs 
Document de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


5.4. Parametres DI-F 


5.4.1. Alimentation des capteurs (1) 


Pinto du] % Diagnostic [TE tod 


; Groupe de potennel 
jo] © Paramétres des modules 
Foarameten 


» Sensor supply | = 
Fe nen: | 
Sensee supply 1 a 
Sensor supply 2 
Sensor supply 3 
Sensor supply + 
Sensor supply 5 
Sensor supply 6 
Sensor supply 7 


“eer 


Test de court-circuit 


Ce paramétre permet d’activer la détection de court-circuit pour les canaux du module F pour 
lesquels une alimentation interne des capteurs est retenue. Le test de court-circuit n’est utile que 
si vous utilisez des commutateurs simples qui ne disposent pas de leur propre alimentation. Le 
test de court-circuit n’est pas possible pour les commutateurs avec alimentation comme les 
détecteurs de proximité 3/4 fils. 


La détection de court-circuit désactive brigvement |’alimentation capteur. La durée de 
désactivation est égale au « temps de test de court-circuit » configuré. Lorsqu’un court-circuit est 
détecté, le module F déclenche une alarme de diagnostic et l’entrée est passivée. 


Les courts-circuits suivants sont détectés : 

* Court-circuit entre entrée et L+ 

* Court-circuit entre l’entrée et un autre canal lorsque celui-ci affiche un signal 1 

* Court-circuit entre l’entrée et l’alimentation capteur d’un autre canal 

¢ Court-circuit entre l’alimentation capteur et l’alimentation capteur d’un autre canal 


Lorsque le test de court-circuit est désactivé, vous devez veiller a poser vos cables de maniére a 
prévenir tout risque de court-circuit et de court-circuit transversal ou choisir un type de 
raccordement (discordance, antivalent) capable de détecter également les courts-circuits 
transversaux via la discordance. 


Pendant la durée d’exécution du test de court-circuit (temps du test de court-circuit + temps de 
montée du capteur aprés le test de court-circuit), la derniére valeur valide de l’entrée avant le 
démarrage du test de court-circuit est transmise ala F-CPU. L’activation du test de court-circuit a 
donc une incidence sur le temps de réaction des différents canaux ou paires de canaux. 
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5.4.2. Test de court-circuit 


Valeur de process gelée 


Test de _ court- 
circuit désactivé 


Temps du test de court-circuit 


Lorsque le test de court-circuit est activé, l’alimentation du capteur concerné est coupée pendant 
le temps parameétré. Si le module ne détecte aucun signal « 0 » a l’entrée pendant le temps 
paramétré, un message de diagnostic est généré. 


Lors du paramétrage, tenez compte des éléments suivants : 


* Si le canal est passivé, cela peut rtre di a une capacité trop élevée entre |’alimentation 
capteur et l’entrée. Celle-ci est composée de la capacité linéique du cable et de la capacité du 
capteur utilisé. Si la capacité connectée ne se décharge pas pendant le temps paramétré, vous 
devez ajuster le paramétre « Temps de test de court-circuit ». 


¢ Les valeurs de temps disponibles pour le retard a l’entrée dépendent du « temps de montée 
du capteur apres le test de court-circuit » et du « temps de test de court-circuit » de 
l'alimentation capteur paramétrée. 


Temps de montée du capteur aprés le test de court-circuit 


Pour réaliser le test de court-circuit, il convient d’indiquer un temps de montée en plus du temps de 
coupure (« Temps de test de court-circuit »). Ce parameétre vous permet d’indiquer au module le 
temps de montée nécessaire au capteur utilisé aprés I’établissement de l’alimentation capteur. Vous 
évitez ainsi d’avoir un état d’entrée indéfini du fait des transitoires du capteur. 


Lors du paramétrage, tenez compte des éléments suivants : 
* Ce paramétre doit rtre supérieur au temps d’établissement du capteur utilisé. 


« Comme le temps paramétré a une incidence sur le temps de réaction du module, nous vous 
recommandons de régler ce temps a une valeur aussi faible que possible, mais suffisamment 
élevée pour que votre capteur ait atteint un état stable. 


« Les valeurs de temps disponibles pour le retard a l’entrée dépendent du « temps de montée 
du capteur apres le test de court-circuit » et du « temps de test de court-circuit » de 
l'alimentation capteur parameétrée. 
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5.4.3. Alimentation des capteurs (2) 


Alimentations des capteurs 
* Chaque alimentation peut étre utilisée pour chaque entrée 


* Si vous mutilisez pas une alimentation, elle est désactivée 


F-DI 8x24VDC HF_1 [F-Di 8x24VDC HF] Q Propriétés ear 
| Générai | Variable 10 | Constantes systéme _| ee 


> Général! 

Groupe de potentie! 
> Paramétres des modules 

F-parameters [] Shortcircuit test 
SE sown Time for shortcircuit test» 


~ Sensors 
spiro Stertup time of sensor after 
shortciecuit test « 
Sensor supply 1 


Cancer cen ® 
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5.4.4. | Parametres des canaux pour une évaluation sur 1 canal (1) 


» Général 
Groupe de potente! 
> Paremeétres des modules 
Foaremeten Sensereveleten® '00! eveluenon 
> Ol peremeten rs 
© Sensor supply 
Seraor supply 0 
tensor supply | 
Seesor supply 2 
Semsor supply 3 
Sensor supply & 
Semor supply 
Sernor supply © 


Sensor supply 7 
© Cuanwe! peremeters 
- Se ; 
Cnareves 0 
Chonnet 4 
» Chsnmei 1.6 
» Chancel 2.6 


f | Emernal sensor uppply 


> Cheneet 3,7 
Adresses ES ie 
1D maténe! 
Sensor supply! «Eterna! sensor 
input deley: > 
£ ' "7 — 
® iz —— te 
Activé 


Pour réduire les sollicitations de la CPU ou accélérer l’actualisation de la mémoire image des 
entrées (MIE), il est conseillé de désactiver les entrées non utilisées. 


Evaluation des capteurs et connexion 


Evaluation 1de1 (1001) 


Lors de |’évaluation 1de1, le capteur est présent une seule fois et est raccordé au module F-DI 
via 1 canal. 


Si la qualité du capteur est inférieure a celle requise par la classe de sécurité nécessaire, le 
capteur doit rtre mis en ceuvre de maniére redondante et raccordé sur 2 canaux. 


Alimentation des capteurs 


Choisissez ici soit ’une des alimentations internes des capteurs VSo a VSn, soit une alimentation 
externe des capteurs. Le choix d’une alimentation interne est la condition préalable a l'utilisation du 


test de court-circuit. 


Retard a l’entrée 


C’est le temps minimal pendant lequel un signal d’entrée modifié doit rtre présent sur le module 
pour qu’un nouveau signal soit détecté et codé. Le retard a l’entrée sert a supprimer les bréves 
impulsions parasites (« anti-rebond »). 

Pour supprimer les perturbations couplées, vous pouvez paramétrer un retard a l’entrée pour un 


canal ou une paire de canaux. 
Les impulsions parasites dont le temps d’impulsion est inférieur au retard a l’entrée paramétré 


(en ms) sont supprimées. Les impulsions parasites supprimées ne sont pas visibles dans la MIE. 
Un retard a l’entrée élevé supprime les impulsions parasites plus longues, mais entraine un 
temps de réaction plus long. Les valeurs de temps disponibles pour le retard a entrée dépendent 
du « temps de moniée du capteur aprés le test de court-circuit » et du « temps de test de court- 
circuit » de l’'alimentation capteur paramétrée. 
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5.4.5. | Paramétres du canal pour une évaluation sur 1 canal (2) 


avec une evaluation 


Disurapancy behmear 


Piecrepericy t 


Number of signal changes 
Monitoring window 3 


Surveillance de gigue (flottement) 


La surveillance de gigue est une fonction de supervision des signaux d’entrée TOR. Elle détecte 
et signale, avec une évaluation 1001 (1de1), les allures de signaux anormales du point de vue du 
processus, comme une fluctuation trop fréquente du signal d’entrée entre « 0 » et « 1 ». 
L’apparition de telles anomalies de signaux est le signe de capteurs défectueux ou de |l’existence 
d’instabilités dans le processus. Une fenétre de surveillance paramétrée est disponible pour 
chaque canal d’entrée. La fenétre de surveillance est lancée par le premier changement du signal 
d’entrée. Si, dans la fenrtre de surveillance, le signal d’entrée change au moins aussi souvent 
que le « nombre de changements de signal » paramétré, une erreur de gigue est détectée. Si 
aucune erreur de gigue n’est détectée dans la fenrtre de surveillance, la fenétre est relancée au 
prochain changement de signal. Si une erreur de gigue est détectée, un diagnostic s’affiche. Si 
aucune erreur de gigue n’apparait sur trois fois la durée paramétrée pour la fenrtre de 
surveillance, le diagnostic est réinitialisé. 


Nombre de changements de signal 
Définit le nombre de changements de signal au-dela duquel une erreur de gigue doit étre 
signalée. 

Fenétre de surveillance 


Définit le temps de la fenétre de surveillance de gigue. Vous pouvez régler des durées comprises 
entre 1 et 100 s en secondes entiéres. Si vous réglez sur 0 s, vous pouvez paramétrer une 
fenétre de surveillance de 0,5 s. 
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5.4.6. Surveillance de gigue (flottement) 


Surveillance du flottement 

Pour chaque canal d’entrée, une fenrtre de surveillance dédiée est disponible. La fenrtre de 
surveillance commence par le premier changement de signal du signal d’entrée. Si le signal d’entrée 
de la fenétre de surveillance change de maniére au moins aussi fréquente que le « Nombre de 
changements de signal », un défaut de flottement est détecté. Si aucun défaut de flottement n’est 
détecté dans la fenétre de surveillance, le changement de signal suivant lancera de nouveau la 
fenétre de surveillance. 


Diagnostic de défaut de 


Parametu pow ta fendtre Ge sur vetiance t <a da tenére de urvediane! = le flottement 


prmee aa ; — Lorsqu’un défaut de flottement 
a te it uu | | | | est detecté, un diagnostic est 
lel transmis. Si le défaut de 
| |e flottement ne survient plus 
pendant une période de trois 
fois le temps configuré, le 
diagnostic sera retiré. 


Surveillance de gigue 


Une fenétre de surveillance spécifique est disponible pour chaque canal d’entrée. La fenrtre de 
surveillance est lancée au premier changement du signal d’entrée. Si le signal d’entrée de la 
fenétre de surveillance change au moins aussi souvent que le « nombre de changements de 
signal » paramétré, une erreur de gigue est détectée. Si aucune erreur de gigue n’est détectée 
dans la fenétre de surveillance, la fenétre est relancée au prochain changement de signal. 


Diagnostic de gigue 


Un diagnostic s’affiche dés qu’une erreur de gigue est détectée. Si aucune erreur de gigue 
n’apparait dans un intervalle égal a trois fois le temps paramétré, le diagnostic est réinitialisé. 
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5.4.7. Parameétres des canaux pour une évaluation sur 2 canaux 


> Génére! 
Gecupe de potennel 

© Pararmetres 61 modules 
Fperamevers Sensor eveluenon~ 


* Channel 0, 4 


loc? evelaner. equevelent 


> Of peremeten Oiscrrpencybetewer: Supply value 0 
* Sener sepply . * - 
Senser supply O /& 
Sensor supply t | Rewnnegra nen after ducrepancy 
enors Wit Otqral not mecess 
Sensor segply 2 


Senser supely 3 
Sensor supply 4 Abe 2 
Senscr supply $ | 
Senser supply 6 i covered 
Sensor supply 7 = 
t Sens yO iad | 
© Chennel peremeters : Senvor supply Red : ee an ANSE ARIS | 
7 iy wepetdeley) 3.2 : valeur « Q » 
> Channel 1.5 , Chatter peaetarenny 
® Chenne! 2,6 Maamhor af hiyne! imenge 3 
» Chennel 3,7 r 
Adresses £5 — . ; 
© matene! 
>» Channel 4 
WA Acoveres a 
Sensor supply: | Sensor sappy « Ie} 
extdulay [x2 ms > Qa 
Peaomber 28 bigd) 1 Menges }u 


Evaluation 1002 (1de2), équivalent/antivalent 


Lors de l’évaluation 1002 (1de2) équivalent/antivalent, deux canaux d’entrée sont utilisés par : 


* uncapteur a 2 canaux 
¢ deux capteurs a 1 canal 


* un capteur antivalent 


Une vérification interne d’égalité (equivalence) ou d’inégalité (antivalence) est effectuée sur les 
signaux d’entrée. Notez que deux canaux sont réunis en une paire de canaux lors de |’évaluation 


1002 (1de2). Le nombre de signaux de process disponibles du module F se réduit en 
conséquence. 


Analyse de discordance 


Si vous utilisez un capteur a 2 canaux ou deux capteurs a 1 canal qui acquiérent la méme valeur 
de process physique, les capteurs peuvent réagir avec un retard du fait, par exemple, de la 
précision limitée de leur agencement. L’analyse de discordance sur équivalence/antivalence 
s’utilise pour les entrées de sécurité afin de détecter les incohérences temporelles entre deux 


signaux ayant la méme fonction. L’analyse de discordance démarre lorsque des niveaux 
différents (ou des niveaux identiques en cas de contréle d’antivalence) de deux signaux associés 
sont détectés. Le systéme veérifie si, aprés écoulement d’un temps paramétrable, la différence (ou 
l’égalité en cas de contréle d’antivalence) a disparu. Si ce n’est pas le cas, il y a erreur de 
discordance. 
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5.4.8. | Comportement sur discordance 


Le temps de 


discordan 
démarr 


Erreur de discordance 
(par ex. 100 ms) 


Signal 
Canal 0 


Le temps de . t 


remis a zéro naa € “signalCanaia4 YY 
— (erreur de discordance) I 
Signal 
Canal 4 
‘ Temps de t 
discordance 
Délivrer MIE ——_— =< 
AAS ] MIE ala derniére 
valeur valide 
(erreur de 


MIE a la derniére 


“distordancey™ 4 


Comportement sur discordance 


Le « Comportement sur discordance » vous permet de paramétrer la valeur mise a la disposition 
du programme de sécurité de la F-CPU pendant la discordance entre les deux canaux d’entrée 
concernés, c’est-a-dire durant l’écoulement du temps de discordance. Le comportement sur 
discordance peut étre paramétré comme suit : 


¢« « Délivrer la derniére valeur valide » 
¢« « Délivrer la valeur 0 » 


Pour définir le comportement du canal du module durant l’6coulement du temps de discordance, 
2 paramétrages sont possibles : 


« Délivrer la derniére valeur valide » 


La derniére valeur valide avant l’apparition de la discordance (ancienne valeur) est mise a la 
disposition du programme de sécurité de la F-CPU dés qu’une discordance entre les signaux des 
deux canaux d’entrée est détectée. Cette valeur est disponible jusqu’a ce que la discordance ait 
disparu ou jusqu’a ce que le temps de discordance se soit écoulé et qu’une erreur de 
discordance soit détectée. Apres écoulement du temps de discordance, la valeur « 0 » est 
transmise dans tous les cas au programme de sécurité de la CPU en cas de détection d’une 
erreur de discordance. 


Attention : 


Le fait qu’une erreur de discordance ne soit détectée qu’aprés écoulement du temps de 
discordance allonge le temps de réaction de l’automate. Si des réactions trés rapides de 
automate sont exigées pour des raisons de sécurité en cas d’erreur, le temps de discordance ne 
doit pas étre réglé a des valeurs plus grandes que nécessaires. 


« Délivrer la valeur 0 » 


Avec ce parameétrage, le temps de réaction de l’automate n’est pas allongé, car la valeur de 
sécurité « 0 » est directement transmise au programme de sécurité de la F-CPU durant 
écoulement du temps de discordance. La valeur « 0 » correspond a la valeur qui serait de toute 
fagon transmise a la CPU en cas d’erreur (c’est-a-dire aprés l’écoulement du temps de 
discordance). 
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Temps de discordance 


Le comportement sur discordance n’a d’intérrt que durant l'écoulement du temps de 

discordance. Si la discordance persiste aprés |l’6coulement du temps de discordance, le module 
détecte cet état comme une erreur et transmet (comme toujours en cas d’erreur) la valeur « 0 » 
pour le canal concerné a la F-CPU. 


Dans la plupart des cas, le temps de discordance est lancé, mais ne s’écoule pas entiérement, 
car les différences entre les signaux sont rapidement compensées. 


Choisissez un temps de discordance suffisamment grand pour qu’en l’absence d’erreur, la 
différence entre les deux signaux (ou la concordance en cas de contrdle d’antivalence) ait 
disparu avant l’écoulement du temps de discordance. 


Comportement pendant I’écoulement du temps de discordance 


Pendant l’écoulement interne du temps de discordance paramétré, les canaux d’entrée 
concernés mettent a la disposition du programme de sécurité de la F-CPU soit la derniére valeur 
valide, soit la valeur « 0 » selon le paramétrage du comportement sur discordance. 


Comportement aprés |’écoulement du temps de discordance 


Si, aprés écoulement du temps de discordance paramétré, aucune concordance (ou discordance 
en cas de contréle d’antivalence) des signaux d’entrée n’est présente (par ex. en cas de rupture 
de fil sur un cable de capteur), une erreur de discordance est détectée et le message de 
diagnostic « Erreur de discordance » est généré avec indication des canaux défectueux. 
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5.4.9. | Réintégration apres erreur de discordance 


' Temps de ' 
' 


discordance 


Signal 

Canal 0 

Canal 0,4 est Signal 
ssive et Erreur 

passivé et Erreu Canal 4 


‘de discordance 


Requéte 
d’acquittement 


Test Signal 0 
nécessaire 
Test Signal 0 pas 
nécessaire 


Réintégration aprés une erreur de discordance 


Ce paramétre vous permet de définir quand une erreur de discordance est considérée comme 
corrigée et donc une réintégration des canaux d’entrée concernés comme possible. Vous 
disposez des possibilités de paramétrage suivantes : 


* « Test de signal 0 nécessaire » 


* « Test de signal 0 non nécessaire » 


Conditions préalables 
Vous avez effectué le paramétrage suivant : 
+ _« Evaluation des capteurs » : « Evaluation 1002 (1de2), équivalent » ou « Evaluation 1002 
(1de2), antivalent » 
« Test de signal 0 nécessaire » 


Si vous avez parameétré « Test de signal 0 nécessaire », une erreur de discordance est 

considérée comme corrigée si le signal 0 est Aa nouveau présent aux deux canaux d’entrée 
concernés. Si vous utilisez des capteurs antivalents, c’est-a-dire si vous avez réglé « Evaluation des 
capteurs » sur « Evaluation 1002 (1de2), antivalent », le signal 0 doit étre A nouveau présent sur le 
canal de plus faible poids de la paire de canaux. 


« Test de signal 0 non nécessaire » 


Si vous avez paramétré « Test de signal 0 non nécessaire », une erreur de discordance est 
considérée comme corrigée s’il n'y a plus de discordance aux deux canaux d’entrée concernés. 
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5.4.10. Adresses des entrées/sorties 


& Properties “info | % Diagnostics 
General 10 tags System constants 


>» Genere 


VO addresses 


Potentre! group 
> Module parameters Input addresses 
F-parameters 
+ Ol peremeters 
> Sensor supply 
= Chenne! peremeters 
7 Channel 0,4 
Channel 0 
Chennel 4 


> Channel 1,5 


> Channel 2, 6 


* 
> Channel 3, 7 Stertaddregs: 4 


. 
End adéresbe 7 
> 


Hordwere idennher 
Organization blo 
lon réglable! 
Affectation automatique par le 
systeme dans le programme 
de sécurité 


Adresses des entrées et sorties 


Les adresses des modules d’entrée et sortie de sécurité sont librement paramétrables comme 
avec les modules standard. Pour le traitement de la communication de sécurité PROF Isafe, les 
modules d’entrée ou de sortie de sécurité utilisent, outre les données utiles d’entrée ou de sortie, 
des octets supplémentaires dans la mémoire image des entrées et des sorties. Un module F-DI 
occupe donc également des octets dans la mémoire image des sorties, un module F-DQ 
également des octets dans la mémoire image des entrées. 


Vous ne pouvez accéder qu’aux adresses occupées par des données utiles et des états de 
valeur. Les autres zones d’adresses occupées par les modules F sont entre autres réservées a la 
communication de sécurité entre les modules F et la F-CPU en conformité avec PROF Isafe. 


En cas d’évaluation 1002 (1de2) des capteurs, les deux canaux sont regroupés. 


En cas d’évaluation 1002 (1de2) des capteurs, vous ne pouvez accéder dans le programme de 
sécurité qu’au canal de poids faible. 


Mémoire image 


Outre les mémoires image MIE et MIS automatiquement actualisées par le systeme 
d’exploitation, la CPU peut offrir jusqu’a 15 mémoires image partielles (MIP) paramétrables 

(MIP 1 a MIP 15 max. selon la CPU). Il est donc possible d’actualiser, indépendamment de la 
mémoire image OB1 actualisée de maniére cyclique (MI OB1), des mémoires image partielles 
(MIP) en fonction du traitement des OB d’alarme. Chaque zone d’adresses d’E/S ou chaque 
module d’entrée ou de sortie ne peut rtre affecté qu’a une mémoire image partielle. Si un module 
est affecté a l’une des mémoires image partielles (MIP), il ne peut plus faire partie de la mémoire 
image cyclique (MI OB1). 


IMPORTANT : 
Si vous utilisez les I/O en mode sécurité, la sélection n’est pas possible. La mémoire image est 
actualisée automatiquement au début et a la fin de lOB-F 
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5.4.11. Exemples pour le raccordement d’équipements de protection électro- 
sensibles (ESPE) : barriéres immatérielles/barrages 
photoélectriques/scanner laser 


Barriéres immatérielles / barrages photoélectriques / Barriéres lumineuses / 
scanner laser* avec sorties électroniques OSSD 1/2 barrages photoélectriques 
avec sorties relais 


selon version jusqu’a Cat.4 / PLe / SIL3 
(* scanner laser uniquement jusqu’a Cat.3 / PLd/ SIL2 
pour des raisons constructives) 


fee fh 


ESPE (€quipements de protection électro-sensibles) 
* ...a sorties électroniques 


Les capteurs a sorties OSSD (Output Signal Switching Device = dispositif de commutation du 
signal de sortie) disposent d’une détection de court-circuit/court-circuit transversal intégrée. Celle- 
ci doit donc rtre désactivée cété unité d’évaluation (dans HW Config pour les modules F-Dl). 


* ... asorties relais 


Les capteurs a sorties relais ne peuvent pas réaliser de détection de court-circuit/court-circuit 
transversal via leurs contacts libres de potentiel. 


Dans les applications en Cat.4 / PLe / SIL8, la détection de court-circuit/court-circuit transversal 
doit donc 6étre activée cédté unité d’évaluation (dans Configuration d’appareils pour les modules 
F-Dl). 
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D0) 


DQ-F 


Vue d’ensemble : raccordement des actionneurs au modules 


Chacune des 4 sorties TOR de sécurité est 


constituée d’un commutateur P (DQ-P) et 
d’un commutateur M (DQ-M). Vous 
connectez la charge entre les commutateurs 
P et M. Pour que la tension soit appliquée a 
la charge, les deux commutateurs sont 
toujours activés. 
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En paralléle avec P et M 


Pour maitriser les courts-circuits transversaux entre les 
commutateurs P et M d’une sortie TOR de sécurité, 
les deux relais sontraccordés en paralléle avec P et M. 

* 


Raccordement a L+ et M 


Vous pouvez raccorder deux relais a une sortie TOR de sécurité. 
Veillez a ce qu'un mrme potentiel de référence soit utilisé et 
que les contacts de travail des deux relais soit raccordés en série. 


5.6. 


5.6.1. 


> Generel 


SIMATIC TIA Portal Safety Advanced 


Parametres DQ-F 


Parametres des canaux (1) 


Potenpal group 

> Module parameters 
F-paremeters 

~ DQ perameters 


Chennel 0 
Channel 1 
Channel 2 


Channel 3 
WO addresses | 


Temps de test maximal 


Ce parametre permet de définir la durée pendant laquelle les tests d’activation, de désactivation 
et de commutation (test de configuration binaire complet) doivent avoir lieu dans le module. Les 
tests sont répétés aprés |l’écoulement de ce temps. En cas d’erreur, le temps de test est réduit a 
60 secondes. 


¢ Utilisez la valeur « 1000 s » pour ménager par ex. vos actionneurs. 


¢ Utilisez la valeur « 100 s » pour détecter les erreurs plus rapidement. 


Suppression du test de désactivation (max. SIL2, Cat.3, PL d) 


Activé 


5-20 


Pour éviter une réaction indésirable de l'actionneur a un test de désactivation, vous avez la 
possibilité de désactiver le test de la sortie du module F. Cette réaction indésirable peut étre, par 
exemple, un bref déclenchement d'un actionneur ou une modification de la valeur de processus 
d'une entrée numérique avec temps de montée court. 


ATTENTION ! 


Pour atteindre le niveau SIL2/Cat.3/PL d, un changement de signal a la sortie correspondante de 
« 1 » a « 0 » doit se produire au moins une fois par an. Le signal « 0 » doit étre présent pendant 
au moins 2 secondes. II ne suffit pas de couper et de remettre en marche la tension 
d'alimentation du module F. 


Si vous cochez cette case, vous activez le traitement des signaux dans le programme de sécurité 
pour le canal correspondant. Ce paraméetre vous permet de désactiver un canal non utilisé. 
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Temps de relecture 


C’est le temps maximal pendant lequel un signal de relecture peut encore rtre détecté aprés la 
coupure de la sortie avant que l’erreur « Court-circuit » n’entraine la passivation du canal de 
sortie. Le temps de relecture doit, en cas de commande de charges capacitives en particulier, 
étre paramétré a une valeur suffisamment grande pour permettre la décharge de la capacité 
connectée durant le temps de relecture. 


Le temps de relecture est également le temps de désactivation lors d’un test de coupure. Pour 
vérifier le ckblage de l’actionneur, des signaux 0 sont appliqués a la sortie pendant que celle-ci 
est active. Un actionneur doté d’une inertie suffisante ne réagit pas a la bréve coupure de la 
sortie et reste activé. 


Test d’activation 


Si un signal 0 est présent a la sortie, une surcharge et une rupture de fil sont détectées. Au cours 
d'un test d’activation, un signal de test est appliqué sur le canal de sortie pendant que celui-ci est 
inactif (Signal de sortie « 0 »). Le canal de sortie est alors brievement activé (= « période 
d’activation ») et relu. Un actionneur possédant une inertie suffisante ne réagit pas et reste 
désactivé. 


Diagnostic : Rupture de fil 


Une surveillance de rupture de fil sert a la surveillance de la liaison du canal de sortie a 
l’'actionneur. Si vous activez la case a cocher, vous activez la surveillance de rupture de fil pour le 
canal correspondant. Pour détecter une rupture de fil avec un signal de sortie « 0 », vous devez 
valider le test d’activation. 
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Test de désactivation 

* Le test de désactivation fait partie du test de configuration binaire. 

* Un signal de test est appliqué sur le canal de sortie pendant que celui-ci est actif (« 1 »). 
* Le canal de sortie est alors brievement désactivé (= « période de désactivation ») et relu. 
* Un actionneur possédant une inertie suffisante ne réagit pas et reste activé. 


By % 4p Le « temps de relecture max. du test de 
ES désactivation » doit étre aussi bref que possible 
mais suffisamment élevé pour que le canal de 


a — +t_4 v sortie ne soit pas passivé. 
we ii Le test de désactivation détecte les défauts 
0A AP suivants : 
a i rp J Court-circuit entre P et L+ 
= a JV Court-circuit entre M et terre 
oe: ™ JY Court-circuit transversal 


— | ' © Relecture 


Temps de relecture max. du test de désactivation 


Les tests de désactivation font partie du test de configuration binaire. Lors d’un test de 
désactivation, un signal de test est appliqué sur le canal de sortie pendant que celui-ci est actif 
(signal de sortie « 1 »). Le canal de sortie est alors brievement désactivé (= « période de 
désactivation ») et relu. Un actionneur possédant une inertie suffisante ne réagit pas et reste 
activé. 


Si aprés écoulement du temps de relecture du test de désactivation, les signaux attendus 
(relecture P et M) n’ont pas pu rtre relus correctement, le canal de sortie est passivé. Lorsqu’une 
configuration binaire est active (le test du commutateur est exécuté), aucune nouvelle valeur de 
process n'est appliquée sur les canaux de sortie. Par conséquent, un temps de relecture max. 
plus élevé pour le test de désactivation augmente le temps de réaction du module F. Ce 
paramétre a une incidence également sur la détection d’un court-circuit (court-circuit transversal) 
avec signal « 1 » lors du passage du signal de sortie de « 1 » a « 0 » via le programme de 
sécurité. 


Réglage du temps de relecture du test de désactivation 


Comme le temps de relecture du test de désactivation s’ajoute au temps de réaction aux erreurs, 
nous vous recommandons de régler le temps de relecture par tatonnements sur une valeur aussi 
bréve que possible, mais cependant suffisamment élevée pour que le canal de sortie ne soit pas 
passivé. Calculez le temps de relecture nécessaire pour les actionneurs a l'aide du diagramme du 
chapitre « Commutation de charges capacitives ». Si la capacité des actionneurs n’est pas 
connue, il peut étre nécessaire de régler par tatonnements la valeur du temps de relecture du test 
de désactivation. Cela peut également étre nécessaire du fait de la dispersion des composants 
dans l’actionneur ou d’influences extérieures. 
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5.6.3. Allure des signaux lors du test de désactivation 


Impulsions de test pour test avec désactivation 


lemps de tes! max, parameétré 
max. 100 ou 1 000 secondes 


4 
0,6 ... 400 ms 
temps de relecture max. paramétrabie du test avec désactivation ou test avec signal de 
sortie "1" 
(durée asservie & la charge) 
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5.6.4. | Test de commutation 


Test de commutation 

» Le test de commutation fait partie du test de configuration binaire. 

* Lors du test de commutation, le commutateur P et le commutateur M du canal de sortie 
sont alternativement fermés et relus lorsque le canal de sortie est inactif (« 0 »). 


* Contrairement au test d’activation, aucun courant ne circule a travers la charge raccordée 
lors de ce test. 


® 
a .P —. M 
Bi \ Le test de commutation détecte les défauts 
oi ; suivants : 
"M wee P JY Court-circuit entre P et L+ 
@) 


JV Court-circuit entre M et terre 
VY Court-circuit transversal 


\ ® Relecture 


Temps de relecture max. du test de commutation 
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Le test de commutation fait partie du test de configuration binaire. Lors du test de commutation, les 
commutateurs P et M du canal de sortie sont alternativement fermés et relus lorsque le canal de 
sortie est inactif (signal de sortie « 0 »). Contrairement au test d’activation, aucun courant ne circule 
a travers la charge raccordée lors de ce test. Si, aprés écoulement du temps de relecture, le signal 
n’a pas pu rtre relu correctement, le canal de sortie est passive. 


Le test de commutation détecte les défauts suivants : 
¢ Court-circuit sur L+ avec signal de sortie « 0 » 


* Court-circuit sur M avec signal de sortie « 0 » 
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5.6.5. Test d’activation 


Test d’activation 


* Un signal de test est appliqué sur le canal de sortie pendant que celui-ci est inactif (« O »). 


» Le canal de sortie est alors briévement activé et relu. Un actionneur possédant une inertie 
suffisante ne réagit pas et reste inactivé. 


° Contrairement au test de commutation, les commutateurs P et M commutent 
simultanément et un courant circule a travers la charge raccordée. 


Le test d’activation détecte les défauts 
suivants : 
ing atl Vv Surcharge avec signal « 0 » ala sortie 

V Rupture de fil avec signal « 0 » ala sortie 


bs oe 


=) 
} 

“2 f 

i 


Relecture 


Test d’activation activé 


Lors d’un test d’activation, un signal de test est appliqué sur le canal de sortie pendant que celui- 
ci est inactif (signal de sortie « 0 »). Le canal de sortie est alors brigvement activé (= « période 
d’activation ») et relu. Un actionneur possédant une inertie suffisante ne réagit pas et reste 
désactivé. Contrairement au test de commutation, les commutateurs P et M commutent 
simultanément et un courant circule a travers la charge raccordée. 


Si les signaux de relecture sont incorrects, le signal du temps de relecture paramétré est actif sur 
le canal de sortie avant que l’erreur n’entraine la passivation du canal de sortie. Pendant qu’une 
configuration binaire est active (le test du commutateur est exécuté), aucune nouvelle valeur de 
process n'est appliquée sur les canaux de sortie. Par conséquent, un temps de relecture max. 
plus élevé pour le test d’activation augmente le temps de réaction du module. 


Une impulsion d’activation de la durée paramétrée a lieu pendant le temps de test max. 
paramétré pour chaque canal de sortie. Si l’impulsion d’activation détecte une erreur, la méme 
impulsion (c’est-a-dire la méme configuration binaire) est répétée une fois au bout de 100 ms. Si 
lerreur persiste, la durée max. du test est automatiquement raccourcie a 60 secondes et un 
message de diagnostic est généré. Si l’erreur a disparu, le canal de sortie est réintégré aprés le 
prochain cycle de test sans erreur. 
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5.6.6. Allure des signaux lors du test d’activation 


Impulsions de test pour le test avec activation 


temps de test max. paramétré 
max, 100 ou 1 000 secondes 


100 ms 
¢-$—___-.-. --+________—_» 


0.6...5ms 

temps de relecture maximal du test de commutation paramétrable ou test 
avec signa! de sortie "0" 

(durée asservie 4 la charge) 
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5.6.7. Adresses d’E/S 


& Properties | % Diagnestics 
General tO tags System constants 
>» General 
VO addresses 


Potential group 


Module parameters Input addresses 
eeners 


« 


F-parameters Steet address 17 
= DQ paremeters . “+ 
SAE tnd ee 21 
channel 1 Organizepon blogs 
Channel 2 Process enoge 
Channel 3 , 
VO addresse Output addresses 


Hardware sdentilier 
Start addres} 


~ 

. 

* = 
“*eeessnnnesneer’* 


* 
tnd address" 21 
* . 
- 


Organitabon block. 


Process enage 


Adresses des entrées et sorties 


Les adresses des modules d’entrée et sortie de sécurité sont librement paramétrables comme 
avec les modules standard. Pour le traitement de la communication de sécurité PROF Isafe, les 
modules d’entrée ou de sortie de sécurité utilisent, outre les données utiles d’entrée ou de sortie, 
des octets supplémentaires dans la mémoire image des entrées et des sorties. Un module F-DI 
occupe donc également des octets dans la mémoire image des sorties, un module F-DQ 
également des octets dans la mémoire image des entrées. 


Vous ne pouvez accéder qu’aux adresses occupées par des données utiles et des états de 
valeur. Les autres zones d’adresses occupées par les modules F sont entre autres réservées a la 
communication de sécurité entre les modules F et la F-CPU en conformité avec PROFIsafe. 
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5.6.8. | Exemple : raccordement d’un actionneur jusqu’a SIL3/Cat.4/PLe 


Une erreur « Rupture de F-DQ DI 
fil » n’est détectée que si la | | 

rupture de fil sépare les deux 

relais de P ou M. 


| 


En cas de court-circuit transversal 


entre les commutateurs P et Mde la = a= 
sortie, le module détecte le défaut et i 

désactive la sortie. L’actionneur Relecture — Acquittement 
continue toutefois d’rtre alimenté a © =) 


> 


cause du défaut externe. 

-> Poser les cables de maniére a 

prévenir tout risque de court-circuit 7 
transversal on} ol 


Pour pouvoir atteindre SIL3/Cat.4/ a ; f--/ 
PLe avec ce cablage, un actionneur L J 
de la catégorie correspondante, par 

ex. selon CEI 60947, est nécessaire. S 


’ 
; 


Entrainement 


Raccordement de 2 charges en paralléle par sortie TOR I 


Pour maitriser les courts-circuits transversaux entre les commutateurs P et M d’une sortie de 
sécurité TOR, nous vous recommandons la variante de cablage en bas de la diapositive. Ce 
raccordement vous permet d’atteindre la classe SIL3/Cat.4/PLe. 


Raccordement de charges aL+ et M par sortie TOR 


Vous pouvez raccorder 2 relais sur une sortie TOR de sécurité. Tenez compte des conditions 
suivantes : 


« Méme potentiel de référence 
¢ Les contacts de travail des deux relais doivent étre branchés en série. 


Ce raccordement vous permet d’atteindre la classe SIL3/Cat.4/PLe (relecture de |’état du 
processus nécessaire). Lors du raccordement de 2 relais a une sortie TOR (comme sur la figure 
ci-dessus), les défauts « Rupture de fil » et « Surcharge » sont détectés uniquement sur le 
commutateur P de la sortie (pas sur le commutateur M).En cas de court-circuit transversal entre 
les commutateurs P et M de la sortie, le module détecte le défaut et désactive la sortie. 
L’actionneur continue toutefois d’rtre alimenté a cause du défaut externe. Pour éviter les courts- 
circuits transversaux entre les commutateurs P et M d’une sortie TOR de sécurité, vous devez 
poser les cables de raccordement des relais aux commutateurs P et M de maniére a prévenir tout 
risque de court-circuit transversal. 


Raccordement d’une charge par sortie TOR ob 


Chacune des 4 sorties TOR de sécurité est constituée d’un commutateur P DQ-Pn et d’un 
commutateur M DQ-Mn. Vous raccordez la charge entre les commutateurs P et M. Les deux 
commutateurs sont toujours activés pour que la tension soit présente sur la charge. Ce 
raccordement vous permet d’atteindre la classe SIL3/Cat.4/PLe. 
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Evaluation des signaux de retour 
Pour détecter la soudure de contacteurs, vous devez évaluer les signaux de retour ou de 
relecture des contacteurs dans le programme de sécurité. La bibliotheque de blocs de Safety 
Advanced met a cet effet un bloc certifié a votre disposition. 


En cas de détection d’une erreur de relecture sur un groupe, ce dernier est désactivé. L’autre 
groupe peut continuer a étre enclenché normalement et coupé en toute sécurité. 
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F-PM-E 24VDC/8A PPM 
2 entrées (SIL 3/PL e) 
1 sortie a commutation PM ou PP, courant de sortie 8 A (SIL 3/PL e) 


SIMATIC TIA Portal Safety Advanced 


F-Power Module: F-PM-E 24VDC/8A PPM 


Coupure de sécurité de modules DQ standard 


L’évaluation de la fonction de sécurité a lieu 
¢ Uniquement dans la F-CPU ou Valeur de process de 


la F-CPU pour DOO 


: : : Sorte 
F-CPU et F-DI embarqué poor? et 


Exploitation des Pp? 
entrees 


E-Stop 
« temps de réaction optimisée » 


Coupure de sécurité des modules DQ standard par le F-PM-E 


Cette solution peu codteuse vous permet de désactiver intégralement et simultanément toutes les 
sorties concernées des modules DQ standard en cas de détection d’erreur dans le processus ou 
sur le module de puissance F-PM-E 24VDC/8A PPM ST. Avec la coupure de sécurité des 
modules DQ standard, vous atteignez la classe SIL2/Cat.3/PLd. Vous pouvez utiliser le module 
de puissance F-PM-E 24VDC/8A PPM ST avec tous les modules standard DQ a Il’intérieur d’un 
groupe de potentiel. 


Sortie TOR de F-PM 
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La sortie TOR commute la tension entre L+ et M via deux commutateurs électroniques. La 
tension commutée et la masse sont transmises via les barres de potentiel internes P1 et P2. La 
tension commutée et la masse sont en outre disponibles sur la BaseUnit aux sorties DQ-PO et 
DQ-MO. 


Vous disposez ainsi de deux possibilités de raccordement, que vous pouvez par ailleurs utiliser 
simultanément : 


« Une charge peut étre directement raccordée a la BaseUnit. 


¢ Les barres de potentiel internes P1 et P2 permettent d’alimenter des modules standard et de 
réaliser une coupure de sécurité. Vous pouvez également raccorder des charges aux 
modules standard. 


En cas de court-circuit transversal entre L+ et DQ, l’actionneur commandé n’est plus désactive. 
Pour éviter les courts-circuits transversaux entre L+ et DQ, vous devez poser les cables de 
raccordement des actionneurs de maniére a prévenir tout risque de court-circuit transversal (par 
ex. cables a gaines séparées ou placés dans des goulottes séparées). Avec le module F-PM-E, 
vous devez, pour des raisons de sécurité, poser un cable de masse double vers la BaseUnit. 
Sinon, la barre de potentiel P2 ne pourrait plus étre désactivée de maniére sire en cas de 
rupture d’un ckble de masse simple. 
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5.8. PM-F Paramétres des canaux 


» Général 


» Channel 0 
Groupe de potentel 
>» Paramétres des modules 
Fporameters tueted 
ih as spree pre Control ofoutput: [F-<PU end onbcerd F-O! 
» Sensor supply | 
> inputs Output types PM swtching 
+ Channel 0. 1 Max readbeck time darktest) °° 0 \ 
Channel 0 Max. readbeck time switch on 
Channet 1 test: O08 
~ Outputs [| Activated light test 
acca [7] Diagnosis: Wire break 
Adresses £/S 
iD materne! 


Commutation PM Commutation PP 


Coupure de sécurité des modules de sortie standard, commutation PM 


Le module de puissance F-PM-E 24VDC/8A PPM ST ouvre un nouveau groupe de potentiel avec 
la BaseUnit appropriée. Les modules DQ standard utilisés dans ce groupe de potentiel peuvent 
étre désactivés de maniére sécurisée par le module de puissance F-PM-E 24VDC/8A PPM ST. 
Pour ce faire, le module de puissance F-PM-E 24VDC/8A PPM ST désactive les barres de 
potentiel P1 et P2 de maniére sécurisée. 


Coupure de sécurité des modules de sortie standard, commutation PP 


Le module de puissance F-PM-E 24VDC/8A PPM ST ouvre un nouveau groupe de potentiel avec 
la BaseUnit appropriée. Les modules DQ standard utilisés dans ce groupe de potentiel peuvent 
étre désactivés de maniére sécurisée par le module de puissance F-PM-E 24VDC/8A PPM ST. 
Pour ce faire, le module de puissance F-PM-E 24VDC/8A PPM ST désactive les barres de 
potentiel P1 de maniére sécurisée. 
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PM-F Raccordement d’un actionneur : commutation PM / PP 


se Tea une ee Seer 7 aes 


Raccordement d’une charge a la sortie TOR, commutation PP (voir vue en haut a droite) 


La sortie TOR de sécurité se compose de deux commutateurs P pour DQ-P0 et d’un 

commutateur M pour DQ-MO. Vous raccordez dans ce cas la charge entre le commutateur P 
DQ-PO et la masse. Pour que la tension soit présente sur la charge, les deux commutateurs P 

sont toujours activés. Ce raccordement vous permet d’atteindre la classe SIL3/Cat.4/PLe avec un 
actionneur de la catégorie correspondante. 


Raccordement d’une charge a la sortie TOR, commutation PM (voir vue en haut a gauche) 


La sortie TOR de sécurité se compose de deux commutateurs P pour DQ-P0 et d’un 
commutateur M pour DQ-MO. Vous raccordez dans ce cas la charge entre les commutateurs P 
DQ-P0 et le commutateur M DQ-MO. Pour que la tension soit présente sur la charge, les deux 
commutateurs P et le commutateur M sont toujours activés. Ce raccordement vous permet 
également d’atteindre la classe SIL3/Cat.4/PLe avec un actionneur de la catégorie 
correspondante. 


Raccordement de 2 charges en paralléle a la sortie TOR, commutation PP 


Avec la variante de cablage représentée en bas a droite de la diapositive, vous pouvez atteindre la 
classe SIL3/Cat.4/PLe. Le raccordement en paralléle de 2 relais obéit aux mrmes régles qu’un 
raccordement avec commutation PM. 


Raccordement de 2 charges en paralléle a la sortie TOR, commutation PM 
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Avec la variante de cablage représentée en bas a gauche de la diapositive, vous pouvez 
atteindre la classe SIL3/Cat.4/PLe. Lors d’un raccordement en paralléle de 2 relais a une sortie 
TOR, une rupture de fil n'est détectée que si les deux relais sont séparés de P ou M par cette 
rupture de fil. Le diagnostic alors généré n’est pas significatif pour la sécurité. 
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5.9.1. | Commutation de charges avec liaison a la terre 


Un module PM détecte un court circuit si les dd 


* Commutation de charge qui présente une 


liaison entre la masse et la terre pour 


améliorer la tenue CEM. 
¢« Siles masse et la terre sont confondues a 


niveau de |’alimentation. 


Du point de vue du modul 


masse-terre. 


i 


Reméde: 
« Réduire la capacité entre la masse et la te 


« Augmenter la valeur de la résistance entre la masse et la terre pour dépasser 100 kQ. 
OU 


¢  Utilisez un module a commutation PP. 


F-DQ a commutation PP 


Un module F-DQ a commutation PM détecte un court-circuit si des charges comportant une 
liaison entre masse et terre (par ex. pour améliorer la CEM) sont commutées et si la masse et la 
terre sont reliées lorsque le bloc d’alimentation fournit de l’énergie. Du point de vue du module F, 
cette liaison masse-terre court-circuite le commutateur M. Un module F-DQ a commutation PP 
peut constituer une solution. 
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5.10. Module a relais F : F-RQ 1x24VDC/24...230VAC/5A 


Coupure séparée électriquement avec : 


ET 200SP 1 F-RQ 
* 1 sortie relais (2x contacts a fermeture 2 canaux) 


Coupure unipolaire de charges 


Dans ce cas d’application, vous pouvez effectuer, avec un module F-RQ, une commutation 
unipolaire de deux charges avec 5 A au total et une/deux alimentations TBTS/TBTP. 


Coupure bipolaire d’une charge avec 1 module F-RQ 
Dans ce cas d’application, vous pouvez effectuer, avec un module F-RQ, une commutation 
bipolaire d’une charge avec 2,5 A max. et une alimentation TBTS/TBTP. 

Coupure bipolaire d’une charge avec 2 modules F-RQ 


Dans ce cas d’application, vous pouvez effectuer, avec 2 modules F-RQ, une commutation 
bipolaire d’une charge avec max. 5 A. 


Coupure unipolaire de charges avec 2 modules F-RQ 


Dans ce cas d’application, vous pouvez effectuer, avec 2 modules F-RQ, une commutation 
unipolaire de deux charges de 5 A chacune. L’alimentation n’est pas une TBTS/TBTP. 
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5.11. Commutation du module a relais F avec DQ-F 


Structure interne 
* Signal de retour interne au module via mémoire image : 


Schéma de principe 


? i wl 
4 14 
-—— 
rrutatose © + ~ t 
L 
. . ae o+ 12.1 
=I[>)-——8g.4 | | 
— - . "| y “ \ 
+ T | 
= iheur oe | 
; fond de | 
a L abe ee 
g 
orter -- 
& 
.: > | : - =~ 
~ oF a an ‘ 
3 ( | Retectue 
\ 
bp 
: 0 _~ —— 
7 -— f b> 
o-+ 
; 
a Emtde > 
a sorhe Ov fee 
» Genera = 
Adresses £/S 
| ~roupe de patenne! 
| D Pacemetres des modules Adresses entrée 


Figure 7-56 Schama de prinape de (EM 1F4 Aereieen es 
D mate — 


Adresse dein) 46 


Raccordement de |’alimentation 24 V DC 


Appliquez la tension de commande 24 V DC a IN P (borne 9) et IN M (borne 11). L’alimentation 
24 V DC s’effectue généralement via une sortie de sécurité a commutation PM (par ex. module 
de sortie TOR F-DQ 4x24VDC/2A PM HF). Raccordez la sortie P de F-DQ a IN P du module F- 
RQ et la sortie Ma IN M du module F-RQ. 


Le raccordement a une sortie de sécurité a commutation PP est également possible. Notez 
toutefois que les courts-circuits P externes sur I’entrée P ne peuvent pas rtre maitrisés. IN M 
serait dans ce cas directement relié a la masse de la tension de commande. L’interversion de la 
tension de commande aux entrées IN P et IN M entraine la destruction du module F-RQ. 


TIA-SAFETY + Raccordement des capteurs et des actionneurs 


Document de formation en version V16.00.00 5-35 


SIMATIC TIA Portal Safety Advanced 


5.12. Enoncé : Adapter les paramétres des modules F 


Renew evmluatinn 60) eemuston eyeceiera 


Dercrepercy behavior 8 -prly value © 


Disernpencytime 20 "os 


[Veit 9 Segnel not necessary 
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5.13. Exercice 1 : Paramétrage F-DI, emplacement 3 


Arrrt d’urgence E2 : 
un interrupteur 2 canaux 
avec évaluation 1002 
et une alimentation capteurs 
interne raccordés 


4 


| lel 

; 14.0 
Paire de canaux 3,7 3 
Canal 0 


Enoncé et procédure 


Interrupteur de maintenance : 
2 interrupteurs un canal avec évaluation 1001 
et alimentation capteurs interne raccordés 


Canal 4 


Arrrt d’urgence E1 : 
un interrupteur 2 canaux 
avec €évaluation 1002 
et alimentation capteurs 
interne raccordés 


Paire de canaux 1,5 


1. Ouvrez les paramétres des canaux du module F-DI a l’emplacement 3 
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5.13.1. Exercice 1 (suite) : Interrupteur de maintenance, canal 0, 4 


General |= 10 tage 


General 
Potenpel group 
Module parameters 
Fparameters 
Df parameters 
© Sensor supply 
Sensor supply 0 
Sensor supply | 
Sensor supply 2 
Sensor supply 3 
Sensor supply 4 
Sensor supply S 
Sensor supply 6 
Sensor supply 7 
+ Chennel parameters 
>» Ee 
Channe! 1,5 
> Channel 2.6 
» Channel 3,7 
VO addresses 


Herdware identiher 


Enoncé et procédure 


| System constants Texts 
: : 


Channel 0, 4 


Sensorevalustor | 100! evetuation 


Channel 0 
(A Actrated 
Sensor supply | Sensor supply 0 
input delay 3.2 
[| Chatter monitoring 


annel 4 
MM) Activated 
Sensor supply Sensor supply 4 


inpur delay 
[) Chatter monitoring 


1. Paramétrez la paire de canaux 0, 4 comme indiqué sur la vue 
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5.13.2. Exercice 1 (suite) : Arrrt d’urgence E1, canal 1,5 


& Properties 
General 10 tags System constants Texts 
> Gerere! + Chennel 1.5 
Potente! group 


\ Sensor evaluenen: | 1002 evaluanon equivalent 
6 Module parameters 


t-peremeters Ouscrepancy behavior | Supply value 0 


~ Di parameters Discrepancy time: = 20 
7 Sensor supply Reintegration alter discrepancy 

Sensor supply 0 enor Test O-Segnal not necessary 

Sensor supply | 

: : Channel 1 

Sensor supply 2 

Sensor supply 3 A Activated 


sor suppl 4 ---—- — 
bs Sensor supply | Sensor supply | 


sor supply 5 
sor supply 6 input delay: | 3.2 
sor supply 7 
* nennel perameters 
> Channel 0.4 
channel ). 5 
+ Channel 2.6 Channel 5 
» Chennel 3,7 
VO addresses Wi Acovated 


Hardware idennier Sensor supply | Sensor supply 5 


Enoncé et procédure 


1. Paramétrez la paire de canaux 1, 5 comme indiqué sur la vue 
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5.13.3. Exercice 1 (suite) : Arrrt d’urgence E2, canal 3, 7 


‘Properties |7ijinfo w 


General | 10 tags | System constants Texts 


> General > Channel 3, 7 

Potential group 5 — 
Sensor evaluation: | 1002 evaluation, equivalent 
> Module parameters 


Discrepancy behavior: Supply value Oo 
Discrepancy time: 100 ms | a 


Reintegration after discrepancy _ 
error: Test 0-Signal not necessary 


F-parameters 
~v DI parameters 

~ Sensor supply 
Sensor supply 0 7 
Sensor supply 1 
Sensor supply 2 
Sensor supply 3 
Sensor supply 4 
Sensor supply 5 


> > Channel 3 


M) Activated 


Sensor supply: | Sensor supply 3 


Sensor supply 6 Input delay: 13,2 
Sensor supply 7 
~ Channel parameters 
> Channel 0,4 


> Channel 1,5 


> Channel 2, 6 


WO addresses [M) Activated 
Hardware identifier désactivé 


Channel 7 


Sensor supply? 


Enoncé et procédure 
1. Paramétrez la paire de canaux 3, 7 comme indiqué sur la vue 


2. Désactivez la paire de canaux 2, 6 
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5.14. Exercice 2 : Paramétrage F-PM, emplacement 4 


f 


Arrrt d’urgence E3 : 
un interrupteur 2 canaux 
avec évaluation 1002 
et alimentation capteurs 
interne raccordés 


000 


000K 


Coupure module DQ standard, emplacement 5 : 


Re 2 La sortie de sécurité (Q10.0) établit l’alimentation 
110.0 du module DQ standard avec « 1 » et la coupe avec « 0 ». 
161 Cela permet de couper en toute sécurité les vannes 
; d’arrrt V1 et V2 raccordées 


Paire de canaux 0,1 


5 


Enoncé et procédure 


1. Ouvrez les paramétres des canaux du module F-PM a l’emplacement 4 
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5.14.1. Exercice 2 (suite) : Arrrt d’urgence E3, canal 0, 1 


Properties 


General 10 tags | System constants Texts 


: 
> General > Channel 0.1 


Potennal group 
Sensoreveluanon | 002 eveluenon, equrvalent 
> Module parameters 


F-parameters Discrepancy behewor «Supply value 0 


> PM parameters Discrepancytime: 20 ma 3} i 
> Sensor supply feintegration sher deacrepancy 
Sensor supply 0 vi error, | Test O-Signal mot necessary 
Sensor supply t Channel 0 
> miputs 
- air 
Channel 0 Sensor supply 0 
Channel! 
> Outputs 
Channel d 


39 
é 


WO addresses 
Hardware identifier 


Qhanne! 1 


Mactrwated 


Sensor supply 1 


Enoncé et procédure 


1. Paramétrez la paire de canaux d’entrée 0, 1 comme indiqué sur la vue 
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5.14.2. Exercice 2 (suite) : Coupure DQ standard, canal 0 


GProperties  “Winfo mi Zi Diagnostics. | 


General | 10 tags | System constants Texts 


> Genere! x ss 
> (Channel 0 
Potentral group 
Module peremeters 
F-peremeters 


Pil poreenaters Control of output | F-CPU and onboard F-0t 
» Sensor supply 


Sensor supply 0 Outputtype = PM switching 
Sensor supply 1 Max readbeck mene derktest 08 


> Inputs Mex readbeck time switch on 
7 Channel 0,1 tee 0.8 
Channel 0 [| Activated light test 
Channel) 
» Ouputs 
channel O 
VO addresses 
Hardware identther 


[| Diagnosis: Wire break 


Enoncé et procédure 


1. Paramétrez le canal de sortie 0 comme indiqué sur la vue 
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5.15. Exercice 3 : Paramétrage F-DQ, emplacement 6 


Moteur M1 : 
Les 2 contacteurs sont commandés: 
en paralléle via la sortie de 
sécurité 0 (Q17.0). 
Les signaux de retour sont relus 
a l'entrée standard 12.2. 


Moteur M2 : 
Les 2 contacteurs sont commandés 
en paralléle via la sortie de 
sécurité 1 (Q17.1). 
Les signaux de retour sont relus 
a l'entrée standard 12.5. 


Q17.0 12.2 Q17.1 12.5 


At+ 
_— 
| 
A2- 
Ale 
- 
| 
A2- 


Ouvrez les parameétres des canaux du module F-DQ a l’emplacement 6 


Al+ 
A2- 
Alt 
A2- 


Enoncé et procédure 
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5.15.1. Exercice 3 (suite) : Commande Moteur 1 et Moteur 2, canal 0, 1 


| General | 10 tags 


> General 
Potenvel group 
~~ Module persmeters 
General 
f-paremeters 
- 
Channel 0 
Channel 1 
Charinel 2 
Channel 5 
VO eddresses 
hardware identiher 


Enoncé et procédure 
1. Paramétrez les canaux de sortie 0 et 1 comme indiqué sur la vue 


| System constants lexts 


Channel 0 


Max reedback time derk test 
Max readback time switch on 
test 


Channel 1 


Max. resdback time dark test: 
Max readbeck time swatch on 
test: 


Channel 2 


Channel 3 


2. Désactivez les canaux 2 et 3 
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A Activated light test 
M1 Diagnosis: Wire break 


A Activated 

06 

G6 

WA Activated light test 
(A Diagnosis: Wire break 
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5.16. Exercice 4 : Paramétrage F-DI, emplacement 7 


Arrrt d’urgence E4 : 
un interrupteur 2 canaux 
avec €valuation 1002 
et alimentation capteurs 
interne raccordée 


27 2' 
Ke 
122.0 


161 


Paire de canaux 0,4 


Surveillance de porte de protection : 

interrupteur de sécurité RFID 2 canaux 

avec évaluation 1001 et alimentation 
capteurs externe raccordée 


Commande bimanuelle : 
2 interrupteurs un canal avec évaluation 1001 
et alimentation capteurs interne raccordée 


4 4? 122.1 122.5 
t—- r— Paire de canaux 1,5 
122.2 122.6 

3: 3 
Canal 2 Canal 6 


Enoncé et procédure 


Ouvrez les paramétres des canaux du module F-DI a l'emplacement 7 
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5.16.1. Exercice 4 (suite) : Arrrt d’urgence E4, canal 0,4 


General [ 10 tags | System constants | Texts — 
~ General > Channelid 4 

Project wtormation 

Catalog information Sensorevelustion: 1002 eveluetion, equivalent 


identthcapon & Mantenence Discrepency behavior | Supply value 0 


Potential group Discrepancytime. 100 ms KS a 
+ Module parameters 
Seintegrabon ser dacrepancy 
Generel @rror, | Test O-Signal mot necessary 
F-perameters 


{ 10 
> Dl perameters Channel 0 


» Sensor supply 
+ Channel peremeters 


(A Actrvated 
Sensor supply | Sensor supply 0 
input delay | 3.2 


* 
Channel 0 
Channel 4 
>» Channel 1,5 
> Chennel 2,6 
> Channel 3,7 
VO eddresses 
Hardwere dentiher 


OA Activated 
Sensor supply | Sensor supply 4 


Enoncé et procédure 


« Paramétrez la paire de canaux d’entrée 0, 4 comme indiqué sur la vue 
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5.16.2. Exercice 4 (suite) : Interrupteur de sécurité RFID, canal 1,5 


“ijinfo | Y Diegnastics 


General | 10. tags | System constants | Texts 


+ General » Channel 1,5 
Propect informeaton 
Catatog indormabon Sensor evalusvon Joo} eveluation 


idennficetion & Maintenance 
Potential group 
7 Module parameters 
General 
F-parameters 


> Of parameters Channel 1 


» Sensor supply W Actested 
* Channel parameters 
» Channel 0,4 Sensor supply | Eternal sensor supply 


- SE input ley 3. 
Channel I) Charter monitoring 
Channel 5 

® Channel 2.6 

» Channel 5.7 

WO eddresses Channel 5 
Mardware identifier @ 
Actweted 
Sensor supply = External sensor supply 
input delay 3.2 


) 


[| Chatter monitonng 


Enoncé et procédure 


1. Paramétrez la paire de canaux d’entrée 1, 5 comme indiqué sur la vue 
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5.16.3. Exercice 4 (suite) : Surveillance commande bimanuelle, canal 2, 6 


Enoncé et procédure 


1. Paramétrez la paire de canaux d’entrée 2, 6 comme indiqué sur la vue 


2. Désactivez la paire de canaux 3, 7 


TIA-SAFETY + Raccordement des capteurs et des actionneurs 
Document de formation en version V16.00.00 5-49 


SIMATIC TIA Portal Safety Advanced 


5.17. | Exercice 5 : Compiler la configuration mateérielle et la charger 
dans la CPU 


we dSsegy . meron Enigne Ouch custinsits fentve Ade 
jets KI KEES EG DF tenoneniqne ’ 


4 
9 Réseau 10: PLCT_PROFINET 1O-Syutem (100) * 
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Une fois le systeme d’E/S PROFINET entiérement configuré et paramétré, le projet complet doit 
étre compilé, enregistré et chargé dans la CPU. 


Procédure 


1. Compilez la configuration matérielle en sélectionnant la station S7-1500 dans le navigateur 
du projet, puis en cliquant sur le bouton Compiler (voir diapositive). Vérifiez dans la fenétre 
d’inspection sous « Info » sila compilation a été réalisée avec succés. Si des erreurs sont 


apparues, corrigez-les. 
2. Enregistrez votre projet 


3. Chargez la station compléte dans la CPU en cliquant sur le bouton Charger (voir diapositive). 
Vérifiez dans la fenrtre d’inspection sous « Info » si le chargement a été réalisé avec succés. 


4. Enregistrez votre projet. 


Résultat : 
Tous les modules et la CPU devraient a présent rtre exempts d’erreurs. 
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5.18. Information complémentaire 
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5.18.1. Affectation des bornes ET200SP / F-DI 


Affectation des bornes 


13 
15 
L+ DC24V M M 


* Dln: entrée TOR de sécurité, canal n 
* Usn: alimentation interne des capteurs, canal n 


Affectation des bornes 


Le module d’entrée TOR F-DI 8x24VDC HF posséde 8 entrées de sécurité DIO a DI7 (SIL8). 
Ces entrées peuvent étre regroupées deux par deux en une seule entrée. 


Vous pouvez regrouper les entrées suivantes : 
« DIO et DI4 
* D1 et DI5 
¢ DI2 et DI6 


* DI3 et DI7 
Les signaux de process sont alors délivrés par les canaux DIO, DI1, Dl2 et DI3. 


Raccordement sur 2 canaux de deux capteurs a un canal (SIL3/Cat.3/PLe) 


Pour chaque signal de process, deux capteurs a un canal (voir page 4-11, exemples a droite) qui 
acquiérent la méme valeur de process sont raccordés a deux entrées du module F (évaluation 
1002 (1de2)). 


Raccordement sur 2 canaux d’un capteur a deux canaux (SIL3/Cat.4/PLe) 


Pour chaque signal de process, un capteur a deux canaux est raccordé a deux entrées du 
module F (évaluation 1002 (1de2)). Alimentez les capteurs a partir de deux alimentations capteur 
différentes. 
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5.18.2. Affectation des bornes ET200SP / F-DQ 


Affectation des bornes 


14 
15 DQ-M2 16 DQ-Ms 


L+ DC24V M M 
* DQ-Pn: sortie TOR de sécurité, canal n, commutation P 
* DQ-Mn: masse pour sortie TOR de sécurité, canal n, commutation M 


Activation intempestive des modules périphériques avec sorties de sécurité 


Si un module périphérique F avec sorties de sécurité risque d’rtre passivé pendant une période 
plus longue que celle indiquée dans les caractéristiques de sécurité (> 100 heures) sans que 
lerreur soit corrigée, il faut interdire toute possibilité d’activation intempestive du module 
périphérique F par une seconde erreur qui ferait passer le systeme F a un état dangereux. Bien 
que la probabilité d’apparition de telles erreurs matérielles soit trés faible, il convient d’éviter 
activation intempestive des modules périphériques F avec sorties de sécurité a l'aide de 
mesures techniques ou organisationnelles. L’une des possibilités est la coupure de I’alimentation 
en courant du module périphérique F passivé pendant une période de 100 heures, par exemple. 
Pour les installations disposant de normes produit, les mesures nécessaires sont normalisées. 


Pour toutes les autres installations, l’exploitant doit mettre en place son propre concept de 
mesures et les faire valider par un expert. 
Propriété de coupure de modules F avec sorties de sécurité 


Une coupure spécifique au canal est réalisée en cas de détection d’une erreur. Il est également 
possible de réagir de maniére échelonnée dans le temps a des états critiques du processus ou de 
couper les sorties de maniére individuelle et sécurisée. 


Connexion de charges non flottantes 


Le F-DQ 4x24VDC/2A PM HF peut connecter des charges formant une liaison entre la masse et 
la terre d’au moins 100 kQ. Sinon, un court-circuit est détecté. Du point de vue du module F, 
linterrupteur M est shunté par la liaison masse-terre. 
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5.18.3. Affectation des bornes ET200SP / F-PM 


Affectation des bornes 


DQ-Po & 
ie AUX 8 AUX 
L+ DC24V M M 
L+ DC24V M M 
*DIn: entrée TOR de sécurité, canal n 
*Usn: alimentation interne des capteurs, canal n 


*DQ-Po: sortie TOR de sécurité, canal 0, commutation P 
*DQ-Mo: masse pour sortie TOR de sécurité, canal 0, commutation M 
*AUX : borne pour PE ou barre de potentiel (utilisable jusqu’a 230 V AC) 


Affectation des entrées 


Le module de puissance F-PM-E dispose de 2 entrées de sécurité DIO et DI1 (SIL3). Les deux 
entrées peuvent étre réunies en une seule. 


Le canal DIO délivre alors le signal de process. Les connexions des entrées sont équivalentes au 
module F-DI. 
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5.18.4. Affectation des bornes ET200SP / F-RQ 


Affectation des borne 


RQoi+ RQoi- 
RQo2+ RQo2- 


Raccordement de la tension de charge et de la charge 


Les raccordements de sorties relais sont des contacts a fermeture libres de potentiel. Cela 
signifie que la tension d’alimentation doit rtre externe. Branchez |’alimentation de charge 
(alimentation 1) et la charge (charge 1) en série aux raccordements RQO1 (bornes 1;2). Les 
contacts a fermeture du relais assurent ainsi la coupure du courant d’alimentation de charge. 
Grace aux deux contacts relais branchés en série, il est possible de poursuivre la mise hors 
circuit si ’un des deux relais est défectueux. 

Le deuxiéme circuit est indépendant du premier sur le plan électrique. lls sont logiquement reliés 
ensemble par la commande commune. Cela signifie qu’un autre potentiel peut régner dans le 
circuit a partir de RQ02 (bornes 3,4), de l’alimentation 2 et de la charge 2. 
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5.19. Catégories d’arrrt selon EN 60204-1 


L’arrrt d’un entrainement peut rtre réalisé de plusieurs maniéres selon EN 60204-1 > 


3 catégories d’arrrt : 
Catégorie d’arrrt 0 (STO) 


* Suppression immédiate de la puissance 

* Coupure électromécanique ou électronique 

* Séparation électrique non exigée 

Catégorie d’arrrt 1 (SS1) 

¢ Entrainement freiné électriquement jusqu’a l’arrrt 
* Coupure de la puissance quand I’arrrt est obtenu 
¢ Coupure électromécanique ou électronique 

* Séparation électrique non exigée 

Catégorie d’arrrt 2 (SS2) 

¢ Entrainement freiné électriquement jusqu’a l’arrrt 


¢ Maintien de la puissance a larrrt 


EN 60204-1 


5-56 


n 


Safe Torque Off 


arrét roue libre non contrélé 


9 OFF 3 ‘Safe Torque Off 


freinage contrélé 


Sécurité des machines + Equipement électrique des machines + Partie 1 : regles générales 


Catégorie d’arrrt 0 


Arrét par suppression immédiate de la puissance sur les actionneurs ; ne doit pas étre réalisé 
nécessairement avec des composants électromécaniques ; une séparation électrique n’est pas 


impérative. 


Catégorie d’arrrt 1 


Arrét contrélé en maintenant la puissance sur les actionneurs pour obtenir l’arrrt de la machine ; la 
puissance est ensuite coupée quand l’arrrt est obtenu 
Arrrt contrélé : arrrt du mouvement d’une machine en maintenant la puissance sur les actionneurs 


durant la procédure d’arrrt. 


Catégorie d’arrét 2 


Arrét contrélé en maintenant la puissance sur les actionneurs 
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5.20. SINAMICS G120 : STO/ SS1 en PL(e) SIL3 
Arrrt d’urgence via bornes sur le PM240-2 FSD-FSF 
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5.21. Aides ala mise en ceuvre de la technique de sécurité 


: 
’ 
: 
’ 
: 
* 


Exemples de fonctions | 
) 


Safety Evaluation Tool 


Sitrain 


Assistance 
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6. Programmation 


1 issue de la formation, le participant au stage 


saura expliquer la structure d’un programme destiné a une application 
de sécurité (programme de sécurité ou programme F) 


saura expliquer quelles fonctions sont programmées dans 
le programme standard et dans le programme de sécurité 


saura expliquer et programmer un échange de données 
entre le programme standard et le programme de sécurité 


connaitra et saura utiliser les opérations autorisées dans le 
programme de sécurité 


connaitra et saura utiliser les fonctions de sécurité indiquées 


saura programmer la dépassivation des modules de sécurité 
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6.1. Programme utilisateur d’une CPU F 


Pack — optionnel 
Safety Advanced 


STEP 7 TIA 


Professional 


Programme utilisateur d’une CPU de sécurité 


Le programme utilisateur d’une CPU de sécurité (CPU F - Failsafe) se compose d’un 
programme standard pour la commande des fonctions standard et d’un programme de 
sécurité additionnel pour la commande des fonctions de sécurité (application de sécurité). 


Le programme standard est créé comme précédemment par Iutilisateur a l'aide du STEP 7 
standard, le programme de sécurité a l'aide du pack STEP 7 « Safety Advanced ». 


La programmation s’effectue dans I’éditeur CONT/LOG standard de STEP 7. Des fonctions de 
sécurité CEI certifiées peuvent également étre intégrées dans le programme. 


Programme de sécurité 


Le programme de sécurité (programme F) se compose d’une partie créée par l'utilisateur en LOG 
ou CONT et d’une partie générée par Safety Advanced contenant notamment la logique de 
diversité par rapport a la partie utilisateur. 


Coexistence programme standard / programme de sécurité 


Le programme standard et le programme de sécurité sont traités indépendamment lun de l’autre 
par la CPU. En raison de la coexistence des deux programmes sur une méme CPU, la 
communication entre eux peut rtre assurée a l'aide de variables globales. Les modifications du 
programme standard n’ont aucune incidence sur le programme de sécurité, de sorte que son 
intégrité soit toujours garantie. 
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6.2. 


Programme standard 


SIT 
Pag 


g 


F-DB 


SB 


Blocs logiques du programme de sécurité 


Programme de sécurité 


RAIN © Siemens SAS 2020 TIA-SAFETY 
e4 
e 


Les fonctions de sécurité requises sont librement programmables par l'utilisateur en « F-LOG » 
(logigramme pour programmes de sécurité) et/ou « F-CONT » (schéma a contacts pour 
programmes de sécurité). Ces langages de programmation correspondent pour l’essentiel aux 
langages LOG/CONT standard, avec toutefois certaines restrictions (jeu d’opérations, types de 
données et plages d’opérandes admissibles). 


Le programme de sécurité comporte également des blocs de données pour la mémorisation des 
données globales. Les blocs de données de sécurité (F-DB) sont créés/modifiés/utilisés comme 
les DB standard. Seuls les types de données utilisables sont limités par rapport aux DB standard. 
Les blocs de données d’instance des FB de sécurité (qu’ils aient été créés par l'utilisateur ou 
copiés a partir de fonctions de sécurité de Safety Advanced) ne sont pas édités par l'utilisateur 
comme dans le programme standard, mais générés par STEP 7. 


Pour créer un programme de sécurité exécutable a partir du programme de sécurité programmé 
par l'utilisateur, Safety Advanced génére des blocs systéme de sécurité (SB) sous forme de F-FB 
lors de l’enregistrement et de la compilation de la configuration matérielle ainsi que lors de la 
compilation du programme de sécurité. Ces blocs permettent de détecter les erreurs / les 
défauts, et d’assurer une réaction adéquate afin d’amener le systeme de sécurité a un état sdr en 
cas de défaillance. Ils réalisent en outre la communication entre la CPU F (mémoire image) et la 
périphérie de sécurité via le protocole de sécurité PROF Isafe. 


DB d'information sur le groupe d’exécution 


F-OB 


Le DB d'information sur le groupe d’exécution de la séquence de programme de sécurité (groupe 
séquentiel) met a disposition des informations pour la sequence de programme de sécurité 
exécutée et pour l’ensemble du programme de sécurité. 


F-OB appelle le bloc main safety d’un groupe d’exécution F dans une CPU S7-1500 F. 
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6.3. Types de données et operations 


* peut rtre modifié sans que cela n’influe sur 
Pintégrité du programme de sécurité 


* peut lire toutes les données du programme 
de sécurité, mais ne peut pas les modifier 


* ne peut pas appeler de blocs de sécurité 


* Langages de programmation : LOG / CONT 


* Types de données pris en charge : BOOL / WORD / INT / DINT / TIME / UDT 
Array (restreint) 
(hors types de données octet, réels, 
complexes) 


* Opérations prises en charge : comme LOG /CONT standard 
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6.4. Structure et traitement du programme de sécurité 


Structure du programme ee ... 
de sécurité S7-1500F 


thesarye 
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Structure du programme de sécurité, groupes d’exécution d’une séquence de programme de 
sécurité 


Tout comme le programme standard, le programme de sécurité peut étre programmé de maniére 
structurée. Le programme de sécurité peut se composer d’un ou deux groupes séquentiels 
indépendants l'un de l'autre qui constituent des programmes autonomes. Ces groupes 
séquentiels assurent l’exécution d’une séquence du programme de sécurité. La subdivision en 
deux groupes séquentiels permet de distinguer, au sein du programme de sécurité, les fonctions 
de sécurité critiques en terme de temps de celles qui ne sont pas critiques. Plus le temps de 
réaction d’une fonction de sécurité doit rtre court dans un processus, plus l’intervalle d’appel du 
groupe séquentiel qui contient la fonction de sécurité (ou du F-OB dans lequel le bloc principal de 
sécurité est programme) doit étre bref. 


L’intégration d’un groupe séquentiel ou du bloc principal de sécurité correspondant dans un F-OB 
garantit que le programme de sécurité sera exécuté dans des intervalles de temps définis, ce qui 
est indispensable a la détermination des temps de réaction du programme de sécurité et des 
fonctions de sécurité de l’installation. 


Instructions destinées au programme de sécurité 


Vous trouverez dans |’onglet « Instructions », en fonction de la CPU F utilisée, des instructions 
utilisables pour la programmation du programme de sécurité. Vous retrouverez des instructions 
déja connues que vous utilisez pour la programmation du programme utilisateur standard, 
comme des opérations sur bits, des fonctions mathématiques, des fonctions de gestion du 
programme et des opérations sur mots. Celles-ci sont complétées par des instructions de 
sécurité destinées, par exemple, a la surveillance de commandes bimanuelles, l’analyse de 
discordance, l’inhibition, l’arrrt/coupure d’urgence, la surveillance de porte de protection, la 
surveillance de boucle de retour, et par des instructions destinées a la communication de sécurité 
entre CPU F. 
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6.4.1. Bloc Main-Safety 
Bloc Main Safety 


* Premier bloc F qui peut rtre programme par l'utilisateur 

° Appelle tous les blocs F créés par |’utilisateur et spécifiques a l’application 

° Doit rtre assigné a un groupe d’exécution F (Safety Administration) 

> Paramétrage par défaut TIA Portal: un groupe d’exécution comprenant le 
bloc Main-Safety est généré automatiquement avec |’appel dans le F-OB lors 
de la création d'une CPU-F 


F-runtime group 1 [RTG1] 


Fail-safe organization block Main-Safety-Block 


Name | FOB_RTG! 


> = 
Event cless <2 Cyclic interrupt 


Number 


Bloc Main Safety (Bloc principal de sécurité) 


Chaque groupe séquentiel (groupe F-runtime) est représenté par un « bloc principal de sécurité », qu’il 
s’agisse d’une fonction ou d’un bloc fonctionnel (F-FC ou F-FB), qui permet d’accéder au programme de 
sécurité et dont l’appel est généralement programmé dans un bloc d’organisation (F-OB). L’utilisateur peut 
directement programmer la logique du programme de sécurité dans ce bloc et/ou utiliser ce dernier pour 


structurer le programme de sécurité et appeler d’autres blocs de sécurité. Parallélement au programme créé 


par l'utilisateur dans le bloc principal de sécurité, Safety Advanced lance d’autres appels de blocs générés 


automatiquement avec lesquels sont réalisées les fonctions de sécurité servant de pilotes pour les modules 


de périphérie, ou contenant la logique de diversité, etc. 
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6.4.2. Groupe F-Runtime 


Groupe séquentiel de sécurité en détail (avec ordre du traitement) : 


Lecture de la MIE F (F_CTRL_1) 


‘- Groupe séquentiel F 


| 


Ecriture de la MIS F (F_CTRL_2) 


2 groupes séquentiels de sécurité maximum par CPU F 


Groupes d’exécution d’une séquence de programme de sécurité (F-runtime groups) 


Pour assurer davantage de maniabilité, un programme de sécurité se compose d’un ou de deux 
groupes séquentiels (F-runtime group). Un groupe séquentiel est une structure logique 
comprenant plusieurs blocs de sécurité combinés au sein d’un mrme systéme de sécurité 
(groupe d’exécution d’une séquence de programme de sécurité). 


Un groupe séquentiel se compose : 
* d’un bloc d’organisation (F-OB) qui appelle le bloc principal de sécurité 
¢ d’un bloc principal de sécurité (F-FB/F-FC que vous affectez au F-OB) 


* le cas échéant, d’autres F-FB/F-FC que vous programmez avec LOG/CONT et que vous 
appelez a partir du bloc principal de sécurité 


¢ le cas échéant, d’un ou plusieurs F-DB 

« des DB de périphérie de sécurité 

¢ d’un DB d'information sur le groupe séquentiel 

« des blocs de sécurité issus de la bibliothéque du projet ou de bibliotheques globales 
* des blocs systeme F-SB 


* de blocs de sécurité automatiquement générés (blocs du compilateur). 


Structure du programme de sécurité avec deux groupes séquentiels 


Vous pouvez diviser votre programme de sécurité en deux groupes séquentiels. Si vous exécutez des 
séquences du programme de sécurité a un niveau d’exécution plus rapide, vous obtenez des boucles de 
sécurité plus rapides avec des temps de réaction plus courts. 
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6.5. Le programme de sécurité 


Le programme de sécurité contient toujours« 
° des blocs F créés par l'utilisateur 
* Gestion dans le dossier Blocs de programme 
* Appel a partir du bloc principal de sécurité 


* des blocs F générés par le systeme (Coded Processing) 
* Créés lors de la compilation du programme utilisateur 
* Gestion par le systeme dans des dossiers Blocs 
propres 
* Compleétent le programme utilisateur avec 
* des mesures de traitement des erreurs 
° des vérifications liées a la sécurité 


Remarque 


Vous ne devez pas insérer des blocs systeme F du dossier « Blocs systeme » dans un bloc 


principal de sécurité Main Safety FB-F/FC-F. 
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6.5.1. Structure du programme de sécurité 


Définir la structure du programme 
* Diviser le programme en modules, par ex. 
~ Pour la détection, l’évaluation et le pilotage — 
Ou en fonction des unités de production 
* Créer au préalable une spécification pour 
chaque module (basée sur l’analyse de risques). 


* Eviter les équations de traitement complexes. 


Bénéfices 

* Complexité réduite. 

* Réduction des erreurs de programmation. 

* Extension simplifiée et simplification de réception 
avec les fonctions réutilisées. 

* Réutilisation de parties de programme sans 
réception. 


* Les éléments du programme déja codés sont testés et réceptionnés au 
préalable. 
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6.5.2. Séquence d’appel dans le programme de sécurité 


© Toujours au début, appels des: 
* Blocs Receive (RCVDP) 
_» Puis, appel des: 
1. Blocs d’acquittement d’erreur et de 
réintégration des modules/canaux F 
2. Blocs de traitement des capteurs 
3. Bloc de traitement des modes de marche 
4. Le combinatoire, les calculs, les 
traitements ,etc. . 
5. Les blocs de pilotage des actionneurs dew 
sécurité “ia 
* Toujours a la fin, appels des 
Blocs Send (SENDDP) 


. 
. 
*. 
. 
. 
. 
*. 
. 
. 
*. 
**. 
. 
. 
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6.5.3. 


Appareils 
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Les fonctions (FC) ou les blocs de fonction (FB) du programme de sécurité sont créés de la 
méme maniére que ceux du programme standard ; il suffit d’activer option « Fail-safe » ou « 
Create F-block ». 


Bloc principal de sécurité (Main Safety block) 


Le bloc principal de sécurité d’un groupe séquentiel est créé et programmé de la mrme maniére que 
n’importe quel autre bloc de sécurité. L’utilisateur peut directement programmer la logique de 
sécurité dans ce bloc et/ou utiliser ce dernier pour structurer le programme de sécurité et appeler 
d’autres blocs de sécurité. 


La propriété selon laquelle un F-FC ou un F-FB doit faire office de bloc principal de sécurité n’est 
attribuée a ce bloc que lors de la création du groupe séquentiel dans Safety Administration. Lors de 
la compilation du programme de sécurité, les appels de blocs générés par Safety Advanced sont 
regroupés dans le bloc principal de sécurité. 
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6.5.4. | Opérations logiques et fonctions safety dépendantes du mode de 


fonctionnement 


Programmation des opérations logiques 


* Utiliser de préférence les éléments logiques ET et OU 
* Réduire l'utilisation des blocs SR au strict minimum 


* Eviter les sauts pour la logique binaire 


Programmation des fonctions de sécurité dépendantes du mode de 


fonctionnement 
Diviser la logique en deux niveaux différents (voir IEC 62061): 


* Niveau 1: toutes les fonctions de sécurité indépendantes des modes de marche 


* Niveau 2: toutes les fonctions de sécurité dépendantes des modes de marche. 


ou des états de I’installation. 


— re f ee . 
! _ OE 1 = | 
—-: “7 2 —| 


me ee ee ee eee a ee 
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6.5.5. | Connexion des données globales 


Connexion 
* Connecter les données globales (entrées, sorties, 


blocs de données) au niveau le plus élevé de la hiérarchie des blocs (Main Safety) 
* Utiliser les interfaces du bloc pour transmettre les,signaux aux niveaux inférieur 


Avantages 
* Concept de blocs modulaires 


* Des parties de programmes peuvent rtre réutilisées dans d'autres projets sans 
adaptations — signature identique 


* Les erreurs de programmation sont réduites. 


° Le programme complet est plus lisible car la fonction générale d’un bloc peut déja 
étre évaluée a partir de ses interfaces. 
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6.5.6. Bibliotheque de sécurité 
Fonctions de sécurité de la bibliotheque 


* Contient des blocs de sécurité certifiés pour les fonctions de sécurité suivantes : 


¥ i lnstructions de base: 


s Descript Vers | Cc 5 

Norm : escripwor ernon ¥ nication 

, 3 Generel ul 

> Bit logic operanon: Nom Descripuon Version 

9 P 

~ Ui Satety unction: vis ~ T) PROFIBUS / PROFINET Wool] 
pitt i eigen SENDDP Send data (16 BOOL, 2. V2.0 
TWO_H_EN Twetiand manaoring vi2 Zs = ee ~ 
UT? Paratel mutng vis RCVDP Receive data (16 BOOL.. V2.0 
Evioo2m to02 evelueton with d_. Y13 > |”) Failsafe HMI Mobile Panels v3.0 
FORACK Feedbeck monitenng vis 
SFOOOR Sefetydocr monitoring yi3 
ACK_GL Global atknovtedgme. y?5 
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, iF 7] Meth functions 
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, & Conversion operebon: v20 

>» S@ Program contro! operet 

» Ug Word logic cperanans 

, S&S Shift and rotate v2.90 

aad S Operste vi 
@ Ack Fad<ale actnoviedgm 


Instructions pour le programme de sécurité 


Vous trouverez dans |’onglet « Instructions », en fonction de la CPU F utilisée, des instructions 
utilisables pour la programmation du programme de sécurité. Vous retrouverez des instructions 
déja connues que vous utilisez pour la programmation du programme utilisateur standard, 
comme des opérations sur bits, des fonctions mathématiques, des fonctions de gestion du 
programme et des opérations sur mots. Celles-ci sont complétées par des instructions de 
sécurité destinées, par exemple, a la surveillance de commandes bimanuelles, l’analyse de 
discordance, l’inhibition, l’arrrt/coupure d’urgence, la surveillance de porte de protection et la 
surveillance de boucle de retour. 
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6.5.7. Multi Instance 
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Multi Instance 


STEP 7 exploite le concept de la multi-instance dans les programmes de sécurité afin de 
permettre le style de programmation orienté objet. Cela permet de déclarer et d’appeler des 
instances multiples pour des fonctions utilisateur tout comme pour des fonctions safety. 


Blocs de sécurité 


La programmation des appels de blocs de sécurité s’effectue de la mrme facon que celle des 
blocs standard. Par principe, seuls les appels de blocs de sécurité sont autorisés dans le 
programme de sécurité. Le systeme ne propose donc que des blocs de sécurité dans les 


dossiers « Blocs FB » et « Blocs FC » de I’éditeur. Lors de l’intégration ou de la programmation 


de l’appel d’une fonction de sécurité, les DB d’instance nécessaires sont générés par STEP 7. 
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6.5.8. | Constantes booléennes FALSE pour « 0 » et TRUE pour « 1 » 


Programmation avec TRUE et FALSE 


Pour les CPU F du S7/1200 et S7-1500, vous disposez des constantes booléennes « 
FALSE » pour « 0 » et « TRUE » pour « 1 » en tant que parametre effectifs pour 
l’'affectation des parametres formels lors de l’appel des blocs 

Une connexion aux opérations booléennes est également possible. 
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6.5.9. Standardisation des blocs 


Standardisation Soeommeandancnt 
Créer des blocs modulaires et réutilisables: 


* Blocs pour des capteurs de sécurité typiques 
* Blocs pour des actionneurs de sécurité typiques 


* Blocs pour des fonctions fréquemment utilisées (par ex. réintégration, mode de 
marche) 


Avantages 

° Les blocs réutilisés ne nécessitent plus de validation 

* Programmation plus efficace des fonctions et projets ultérieurs 

* Gestion des versions avec le concept de bibliotheque du TIA Portal 

* Standardisation des parameétres formels pour les projets et les programmeurs 
pour une lisibilité et des tests optimises 


La standardisation présente les avantages suivant pour l’utilisateur 
¢ Le logiciel devient plus transparent pour l'utilisateur et donc plus facile a utiliser. 


¢ Réduction significative des sources d'erreurs grace a l'utilisation de parties de programme déja 
validées. 


« Minimisation de I'effort de création et de mise en service du programme lorsque le standard est 
disponible. 


« Simplification des diagnostics et du dépannage. 
« Documentation claire des modules avec un comportement défini. 
« Pas d’ingénierie paralléle pour la méme tache. 


¢ Interfaces définies avec d'autres services. 


La standardisation présente les avantages suivants pour le fabricant. 


« Les exigences des clients existants (par exemple, l'industrie automobile) 
sont satisfaites. 

«  Maintien et développement de la compétitivité. 

« Augmentation de l'efficacité de l'ingénierie. 

* Gestion simplifiée des versions de machines (flexibilité). 

¢ Répartition des taches par lots de travail. 


« Réduction des codts grace a la mise en service virtuelle / « Digital Twin ». 
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6.6. Editeur Safety Administration 
L’éditeur « Safety Administration » vous aide pour les taches suivantes: 


° Afficher l’état et le mode du programme de 


Appareils 

sécurité 
* Afficher les signatures F 
- Créer/organiser les groupes runtime F Sg ge- 
- Informations pour les blocs F + deprenrertgnocoe 
* Informations pour les types de données API F aE Sumenewansae = 
* Informations pour utilisateurs avec autorisation inert ibaa 

F-Admin (© Safety Adminictrance a - 
* Définir/modifier les protections d’accés pi et eepemroonn e 
> Définir les réglages des paramétres du censure 

programme de sécurité ee ’ 
* Créer/visualiser/effacer les communications F cen beindeipemmatereonn 9 

via Flexible F-Link (S7-1200, S7-1500) ee 

» |g Connte: Peppered prox 


Général 


1 cette rubrique s’affichent l'état du mode de sécurité, l'état du programme de sécurité et la 
signature globale F. 


Groupes séquentiels (F-runtime groups) 


Un programme de sécurité se compose d’un ou deux groupes d’exécution de séquences de 
programmes de sécurité (groupe séquentiel). Vous définissez dans cette rubrique les blocs et les 
propriétés du groupe d’exécution d’une séquence de programme de sécurité. 

Blocs de sécurité (F-blocks) 
Vous obtenez a cette rubrique des informations sur les blocs de sécurité utilisés dans votre 
programme de sécurité et leurs propriétés. 

Types de données API adaptés aux applications de sécurité (F-compliant PLC data types) 
Vous obtenez a cette rubrique des informations sur les types de données API adaptés aux 
applications de sécurité créés par l'utilisateur (UDT). Vous pouvez également verifier si un type 
de données API adapté aux applications de sécurité (UDT) est utilisé dans le programme de 
sécurité. 

Protection d’accés (Access protection) 
Vous pouvez créer, modifier ou supprimer a cette rubrique le mot de passe du programme de 
sécurité. Une protection d’accés est obligatoire pour le mode production. 

Administrateurs F serveur Web (Web server F-admins) 
Vous obtenez a cette rubrique des informations sur les utilisateurs ayant l’attribut « F-Admin » 
pour le serveur Web de la CPU F. 

Flexible F-Link 


Sous « Flexible F-Link » vous obtenez des informations tabellaires au sujet des communications 
safety ainsi programmées. 
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6.6.1. General 


* Sous « Général » s’affichent l'état du mode de sécurité, l'état du programme 
de sécurité et la signature globale du programme de sécurité. 


General 

> F-runtime group 
F-Abloulgruppe t (RTG1} Safety mode status 

blocks 

F-complient PLC dete types 

Access protection 

Web server F-edrruns 

Setungs 

Fleable Fiink 


Current mode: | Salety mode is actveted 


Safety program status 


Offline program: | The offline safety program is consestent 
Oniine program: | the anine salety program ss consistent 


F-signatures 
Oescnption Status Olfine sgneture Onkne ngnature 
Colleceve F-signanse @ seicsese 881C3E3€ 
Software signature gsCcalFODS 

Hardware f-signetize 9000eCsS 

F-Comrmunscation Address Segneture SOOCETIA 


Etat du mode de sécurité (Safety mode status) 


Affiche l'état courant du mode de sécurité. Condition préalable : une liaison en ligne doit étre 
établie avec la CPU F sélectionnée. 
Désactiver le mode de sécurité (Disable safety mode) 


Lorsqu’une liaison en ligne est établie et le mode de sécurité activé, vous pouvez désactiver ici le 
mode de sécurité de la CPU F sélectionnée a l'aide du bouton « Désactiver le mode sécurité ». Le 
mode de sécurité ne peut rtre désactivé que pour l’ensemble du programme de sécurité (et non 
pour des groupes d’exécution F individuels). Condition préalable : la case « Le mode de 
sécurité peut étre désactivé » doit étre activée sous « Paramétres ». 

Etat du programme de sécurité (Safety program status) 
Affiche l'état courant de votre programme en ligne et hors ligne. 
* Cohérent (avec information si aucun mot de passe n’a été affecté) 


¢ Non cohérent 


Signature du programme (Program signature) 


Sous « Program signature » différentes signature s’affiche. Chaque signature provient de 
différentes parties des données sécuritaires du projet. 


* Collective F-signature : cette signature est modifiée lors de chaque modification des 
données sécuritaires du projet. Elle englobe les signatures suivantes. 


* Software F-signature (S7-1200/1500) : cette signature est modifiée lors de modifications du 
programme de sécurité. 


« HW F-signature (S7-1200/1500) : cette signature est modifiée par modifications au niveau 
de la configuration matérielle sécuritaire. 


« F-communications-Adresse-signature (S7-1200/1500) : cette signature est modifiée par 
modification du nom ou de l’identifiant UUID des liaisons de communication F-Link. 
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6.6.1.1. Signature fonctionnelle 


La signature fonctionnelle facilite la comparaison et la validation de votre programme 
de sécurité. Elle est uniquement modifiée lorsqu’une modification relative a la 
sécurité est réalisé dans le projet: 


Effet sur la signature: 

¢ Logique des blocs F 

¢ Ordre d’appel des blocs F 
¢ Paramétres F de la CPU et de l'ensemble des E/S de sécurité 
* Paramétres des groupes d’exécution F 
Aucun effet sur la signature: 

* Commentaires 


* Symbolique 


¢ Horodatage 
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6.6.1.2. Exemple de signature fonctionnelle 


Signa ux Arrét Urgence 


Collective a BBICSESE 


Software a 9C81FODS 

Herdwere F-signature SDBD6CSS . 
PF eeesessecesesseess, Y 
. Nouveeus commentsire' 


Sere e nee ere teen eee Signeux Arrét Urgence 


Colle F-signature =BB1 C3ESE Collective F-signeture s FCE6929B 
mikes Faign ie *9cB1F0DS Software F-signature + DE4C4532 


“soasecee""""""* Hardware F-signeture SDBD6C55 
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6.6.2. | Groupes F-Runtime 


General 


Add F-runtime group 
© Feuntine group 


FAbimdgrappe | (RIG?) An Perentme consists of an F-O0 (oyche Of, cychic unterrupt O8 oF synchronous cycle 
. mam salety OB or FQ Astiional userspecite salety huncuons are cated hom the man 


F-iscks 


F-comphent PLC dete tepes 
ACCESS protectin 
Web server Fedmins 


Scslas 1 -Ablautgruppe 1 {RTG1] 
feeble Unt Fail-sate organization block 


By Md new Frunteme grows 


MorniSatety (7 DO] 


natMeinSelety [O01] 


Warr cycle time of the fruntiene group =) 20000 
Maornum cytle ime of the Pruntene group = 50000 
DE toe Fruntne group CommmmamosDor 

Pourmene group informanon DR ATG) Syente 


> RTG1_GLOB_FIO_STATUS [FB2) 


Pre peocersing = frefrocersmegSalety [fC1/ 


Post processing «fortfrocessingSalety |FC3 - 
= Oh lehebahstidndhettel a 


9? . 
- — se 
Delete Frente group Generate gobal FWO status tac 


Régles a respecter : 


« L’accés aux canaux (valeurs de canaux et états des valeurs) d’une périphérie de sécurité 
nest autorisé qu’a partir d’un seul groupe d’exécution. 


« L’accés a des variables du DB d’une périphérie de sécurité n’est autorisé qu’a partir d’un 
groupe séquentiel, a savoir celui depuis lequel l'accés aux canaux ou a |’état des valeurs de 
cette périphérie de sécurité est réalisé (si l'accés est réalisé). 


* Les F-FB peuvent étre utilisés dans plusieurs groupes séquentiels, mais ils doivent étre 
appelés avec des DB d’instance distincts. 


« L’accés aux DB d’instance est autorisé uniquement a partir du groupe séquentiel dans lequel 
le F-FB correspondant est appelé. 


« L’accés aux variables d’un F-DB global n’est autorisé qu’a partir d’un groupe séquentiel (un 
F-DB global peut cependant étre utilisé dans plusieurs groupes séquentiels). 


¢ (S7-1200, S7-1500) Vous ne pouvez pas appeler vous-méme le bloc principal de sécurité 
(Main Safety). Il est automatiquement appelé par le F-OB correspondant. 


* (S7-1200, S7-1500) Le F-OB doit étre créé avec le plus haut niveau de priorité de tous les 
OB. 


« Lamémoire image des entrées et sorties de la périphérie standard, les mémentos et les 
variables des DB du programme utilisateur standard sont accessibles en lecture comme en 
écriture a partir de plusieurs groupes d’exécution F (voir également « Echanges de données 
entre le programme utilisateur standard et le programme de sécurité »). 


Générer un bloc d’état global de la périphérie F 


Vous pouvez créer un bloc standard (FB) portant le nom « RTGx_GLOB_FIO_STATUS », qui 
indiquera si pour un module de périphérie F ou au moins un canal des valeurs de remplacement 
sont activées au lieu des valeurs du processus. Le résultat de l’interrogation est reporté a la 
sortie « QSTATUS ». Les périphéries F qui ont été désactivées avec la variable « DISABLE » du 
DB de périphérie ne sont pas concernées. La sortie « RIOforFA_VALUE_STATUS » correspond 
ala sortie « QSTATUS » mais uniquement pour la périphérie F avec profil « RIOforFA-Safety ». 
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6.6.3. | Créer un groupe F-Runtime 


Add F-runtime group 


Add new V hinting Group fer ST TSO0T 


An F-runtrne group consists of an F-OB (cycle 08 
Addmonal user-specitic safety functions must the 


By Add new F-runtrne group 


<= = = 
—____e 


Fabsate organication block Mam calety bieck 


Were fot rns Marre | baie Sahety FP - 


Pa 
; 

- 
7 
i 
3 


@) reve! Morse! 
sunemate @) Actomane 
lyohe thee 20 " 
Pheve thk uw 
Ponty > 

Les F-I/O Devices qui intégrent 
le mode isochrone permettent 
d’utiliser un F-OB avec la 
classe d’événement Description 
« Synchronous cycle » pena a yet atone pana as Ao ii a 


Pour le F-OB vous pouvez opter pour « Program cycle, « Cyclic interrupt » ou « Synchronous 
cycle ». 


Par défaut le F-OB est de type « Cyclic interrupt ». Pour modifier la classe d’événement du F-OB 
d’un groupe d’exécution F déja activé, il faut effacer et recréer ce groupe d’exécution F. 


Interruption cyclique 


Nous préconisons un F-OB avec pour classe d’événement « Cyclic interrupt » pour OB alarme 
cyclique. Ainsi le programme de sécurité est appelé a intervalles réguliers. 


Cycle programme 


F-OBs avec la classe d’événement « Program cycle » ne sont pas recommandé car ils ont la plus 
faible priorité « 1 ». 


Cycle synchrone 


F-OBs avec la classe d’événement « Synchronous cycle » sont uniquement adaptés a la 
périphérie F supportant l’isochronisme, par ex. « Télégramme Profisafe 902 » du SINAMICS 
$120 CU310-2 PN V5.1. 
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6.6.4. | Groupe F-Runtime - Parameétres 


F-Ablaufgqruppe 1 [RTG1) 


Fail-safe organization block Main safety block 


i calls 


Nome = *_O8 —_—_ MainSatety [FRO - 


Event class = Cyclic mterrapt 


Number 125 


Cycle ume 100000 ys 


Phase shift +06 


Prioeity $12 3 instMainSafety [DE1} 


F-runtime group parameters 
Wem cycle time of the Fruntime group =| 20000 ps 


Si le groupe d’exécution n’est 
pas exécuté dans le délai du 
temps de cycle maximum, la 
CPU passe en mode STOP 


Maxumum oycie ime of the Fruntime group §=1 50000 ps 


D6 tor F-runtime group commurication 


f-runtime group information DB 


— Pre/Post processing of the F-runtime group 
Vous avez la possibilité 
d’appeller des fonctions 

standards directement avant o 

aprés le groupe d’execution F. Delete F-runtime group 


fre processing 


Post processing 


Generate globel F/O status block 


Parametres du groupe d’exécution d’une séquence de programme de sécurité (F-runtime group) 


La CPU F effectue une surveillance du temps de cycle F dans le groupe d’exécution F. Vous 
disposez a cet effet de deux parametres : 


« Encas de dépassement de la limite d’avertissement du temps de cycle (« Warn cycle time of 
the F-runtime group »), une entrée est créée dans la mémoire tampon de la CPU F. Vous 
pouvez utiliser ce paramétre pour déterminer, par exemple, si le temps de cycle dépasse une 
valeur requise sans que la CPU F passe a |’état STOP. 


« Encas de dépassement du temps de cycle maximal du groupe d’exéution séquentiel 
(« Maximum cycle time of the F-runtime group »), la CPU F passe a l'état STOP. Choisissez 
comme temps de cycle maximal du groupe séquentiel, le temps maximal qui peut s’écouler 
entre deux appels de ce groupe séquentiel (maximum 20 000 000 us). 


Entrez dans le champ DB d’information « F-runtime group information DB » un nom pour le DB 
d'information pour le groupe d’exécution du programme de sécurité. 
Pré-/post- traitement 


Avec le pré et posttraitement vous avez la possibilité d’appeler des blocs standards (FCs) 
immédiatement avant ou aprés un groupe d’exécution F, par ex. pour le transfert des données de 
communication sécuritaire via Flexible F-Link. 


« Uniquement utilisable pour des FC standards. 


« Les données locales temporaires et les constantes sont uniquement exploitables dans 
l'interface d’un FC Standard. 


« Le temps de traitement du groupe d’exécution se prolonge du temps d’exécution des FC 
standard pour le pré-/post traitement (modifie TRTG_CURR et TRTG_LONG du DB 
d'information du groupe d’exécution F : RTG1Sysinfo). 


* Comme le pré-/ post traitement ne modifie pas la fonctionnalité du programme de sécurité, la 
signature globale de sécurité reste identique apres la compilation. 
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6.6.5. Blocs F 


© berietery 0 F hocks 
@ ber yercr ih 


Tene ETL Te 


& Foca joer oo Ocrrcrns ocercorns 
@ Corereitocen PR! 14) " Ge995 208 Ba 

@ Leveling pests " fect #ontaben oo+ilce 
@ very rere mm oecr tae DeciTrAgs 


" OsIPcCErOTs MCE TOTS 
re Quses8 5D" darses8 207 
Onreceecrs oxrecescr? 


© Merlatery Feo 
_— Sertegreten [Ft) 1a} 
@ Yermpor errs} 


@ reeset jos) 208 be He Nets 0800 OxBt JS0Re0 
© @ Beer bpteee 
> & UWP eee 
Bt 20_wecrre Carnet bee deter mee aworce seorcot 
2, 2H_fm Pert) —" owweo! oowes 


Leal aweren! poerne 
" Oweres) oe@erec! 
re Qurrent Sorrec' 
Lae Opereo:! ces 


2 7 ACCA Pesta 
ocr pares 
Perry [rezee) 


a ft pooncs pezie 


eeececoeceeeeceocc! 
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Informations affichées 
Les informations suivantes sur les blocs de sécurité s’affichent en mode hors ligne : 


Le bloc de sécurité a-t-il été compilé et utilisé ? 
Fonction du bloc sécurité dans le programme de sécurité 
Signature hors ligne 


Horodatage de la derniére modification 


Les informations suivantes sur les blocs de sécurité s’affichent en mode en ligne : 


Fonction filtre 


La fonction filtre permet de choisir entre une visualisation de tous les blocs de sécurité d’un 


Etat (si le bloc a le méme horodatage en ligne et hors ligne) 
Fonction du bloc de sécurité dans le programme de sécurité 
Signature hors ligne 


Signature en ligne 


Les blocs de sécurité s’affichent par ordre hiérarchique comme dans le dossier « Blocs de 


programme ». 


groupe d’exécution donné ou de tous les blocs de sécurité du programme de sécurité. 


* Sélectionnez « All F-blocks » dans la liste déroulante pour voir tous les blocs de sécurité. 


Sélectionnez un groupe séquentiel dans la liste déroulante pour voir tous les blocs de 
sécurité de ce groupe d’exécution. 
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6.6.6. | Type de données API F adapté 


* Les F-UDT (types de données API adaptés) se déclarent et s’utilisent 
exactement comme les UDT. 


¢ Tous les types de données autorisés dans le programme de sécurité peuvent étre 
utilisés dans les F-UDT. 


¢« Les F-UDT ne peuvent pas rtre imbriqués a d’autres F-UDT. 


¢ Les F-UDT peuvent étre aussi bien utilisés dans le programme de sécurité que 
dans le programme standard. 


@) tenes cats : Ce ee 


; *. a4 
* fecteean *vepauccecaeeee®® 


a 


General F-compliant PLC data types 


7 F-+runtrne group 


FAblautgruppe 1 [RGt| 


blocks 7 _© Types de données API 


fh Fonchon_secunte_emramement_! No ODOS/2OI7 14:04:47 (UTC +2:00 


Access protechon 


Desacnption Used in the sefety program Tone stemp 


i) Foncton_secunte_entrainement_2 No O20S/2017 14204241 (UTC +2:00) 
Wed server Fadmuans 


Setings 


Informations affichées 
Les informations suivantes sur les types de données API adaptés (UDT) s’affichent en mode hors 
ligne : 


« Le type de donnée API adapté a un programme de sécurité est-il utilisé dans le programme 
de sécurité ? 


¢ Horodatage de la derniére modification 


Les informations suivantes sur les types de données API adaptés (UDT) s’affichent en mode en 

ligne : 

+ Etat (si les types de données API adaptés (UDT) ont les mémes horodatages en ligne et hors 
ligne) 


Les types de données API adaptés (UDT) s’affichent par ordre hiérarchique comme dans le 
dossier « Types de données API ». 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 6-29 


SIMATIC TIA Portal Safety Advanced 


6.6.7. Protection d’accés 


Generel Offline safety program protection 
» Fruntime group 
F-runtime group 1 [RTG1] ce» Password for modihing selety peogrem: 
Feolocks 
Fcomplient PLC dete types Password: 
Access protection [tegin |! Guange 
Web server Fedmins 
Settings F-CPU access protection 


The password for downloading to the F<PU is set in the inspector window of 
the F-CPU in the “Properties” tab 


Changesrevoke password 


Go to the “Protection” area of the FCPU 
(HM s7-15136 [cpu 15036 Pu} 
g Change safety program pessword: 
Old password: 
New password: 
Confirm password: 


> (Wy 57-7593 [cpu 1513F-1 PN] 


BY Configuration des sppereils ’ —— a 
% En ligne & Diagnostic atte, A el enna 


| (© Safety Administration eer vk 
i S Blocs de programme "wees 


MF Ajouter nouveau bloc 
@ Mein (087) 


Vue d’ensemble de la protection d’accés 


L’accés au systéme de sécurité SIMATIC Safety peut étre protégé par deux mots de passe, a 
savoir le mot de passe du programme de sécurité et le mot de passe de la CPU F. 


Pour le mot de passe du programme de sécurité, deux versions sont a distinguer : 


¢ Le mot de passe hors ligne, qui fait partie du programme de sécurité dans le projet hors ligne 
stocké dans la PG/ le PC. 


« Le mot de passe en ligne, qui fait partie du programme de sécurité stocké dans la CPU F. 


Remarque : 


Les modifications des DB standards auxquels le programme de sécurité accéde en lecture ou en 
écriture exigent une nouvelle compilation du programme de sécurité. Ces DB standards ne sont pas 
soumis aux droits d’accés applicables au programme de sécurité. 


Notez que vous avez également besoin du mot de passe en ligne pour charger les modifications 
de la configuration matérielle liées a la sécurité. Ceci vaut également pour les modifications de la 
périphérie de sécurité qui n’est pas utilisée dans le programme de sécurité. Pour garantir un 

chargement cohérent, vous devez également recompiler et recharger le programme de sécurité. 
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6.6.8. |Web Server F-Admins 


General Web server F-admins 
© F-runtime group 


Febleuigruppe § [TG] oad eene Wits O8B Rs cccese eens ne Tete CUES MAP OLTED pose cece ns FekNs COURANT EEA eee en, 
Febliocks H | Expert Sefetys sauv x No online connection . 
Fcomplisnt PLC data type: S*P*SSSe este eeeennereescesseeeestassenassenseenssseasssasseussususesusensssessuess 


Access protection 


Settings > General Gestion des utilisateurs 
Flexible F-Link > Fad<ele | 
> Interiace PROFINET [x1] “ aeere 
Me en route = 
Chacun Mrimum 
Cycle 


Expert Sefetysseuy Admuinistretif ~~ SURE EN yeSee taal 


uter ¢ 


Charge due 4la comen 
Mémentos systéme et d_ 


SIMATIC Memory Card 
> Diagnostic tystéme 
Messeges API 
MI serveur Web — rennin 
Uutilisateur est autorisé a ... 
A consulter le diagnostic 


A coter une ceuvegente de FAM 


Pe ty os eee 


. _eftectues det modiiceton: en tant qu'admin B 


Fonctionnalité 


Vous avez besoin du droit « F-Admin » pour restaurer une sauvegarde via le serveur Web de 
votre CPU F. Le droit « F-Admin » est attribué dans l’outil de configuration matérielle de la CPU F 
dans la « Gestion des utilisateurs » du serveur Web. 


Cette fenétre affiche des informations sur les utilisateurs possédant ce droit en ligne ou hors ligne 
pour les CPU F qui gérent le droit « F-Admin ». Cela vous permet de savoir si une modification du 
droit « F-Admin » a un effet sur la CPU F. Pour rendre effective une modification du droit 

« F-Admin », vous devez charger la configuration dans la CPU F. 
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6.6.9. Parametres (1) 


Generel 


Safety program settings JB 9G} Sy¢smto [D820001} 


© Frunbme group 


f-Ablaulgruppe ? [RTG1] Assignment of block numbers generated by the sa 


? Cormpiler biecks 


roe SLOGAL_ 11 fFC37770) 


vlocks Ss a com irce2767 
F-blocks (2) F-system managed ~ Soto a Y 
F-compleant PLC dete types SPUT_FOG_1_) [PCS2769 
Feed range SH F_80006_mirut jro32790} 
Access protecpon mr 80004K_ OUTPUT ifa92701) 
Web server F-admins FB numbers from FB - to FB rca 17832767} 
Settings FC numbers: from FC: . to FC: oD fF _crai_2 1F882772} 


a £40 Gata Dlochs 


Flexible F-Link D6 nurnbers: trom DB: : to DB: 


JB F00004_F-Dinc2avOCHF_! [DB30000) 

§B F00022_F-01ha4vOCHF_> [D830003) 
Safety system version gD 10001 t_P-0oacaavocaarvett_1 fpos0e04] 

a P0001 0 F-4W4 VOD CRArPMST_| (De on005) 


Donne a [utilisateur 
la possibilité d’un 

chargement cohérent des 
données d’une CPU 1500F 


dvanced settings = 
7 gf Données communes 


ee Classes dslerme 


fA Salety mode can be disabled 


fA Activation of F-change history BY Options de diagnostic systéme 
Enable consistent upload from the F a8 Poremete: de surveillance 
d all 2 Journaus 


fA Enable vanable F-communication IDs 
Dy Fehenge history $7-1513F 2019-02-14 15:34:35 


System generated objects 


Create driver instance date blocks without prefix 


Clean up 


Plages de numéros des blocs systéme de sécurité générés 


Les séries de numéros paramétrés ici sont utilisées par le systeme de sécurité pour les nouveaux 
blocs de sécurité créés automatiquement. 


¢ F-system managed : les séries de numéros sont automatiquement gérées par le systeme de 
sécurité en fonction de la CPU F utilisée. Le systeme de sécurité choisit une plage de 
numéros libre. Les plages de début et de fin des séries de numéros s’affichent. 


¢ Fixed range : vous pouvez sélectionner vous-méme les plages de début et de fin des séries 
de numéros dans la plage libre. La plage libre dépend de la CPU F utilisée. 


Version du systeme de sécurité 


Ce paramétre vous permet de définir la version du systeme Safety (notamment la version des 
blocs systéme et des blocs de sécurité automatiquement générés). Aucune modification de ce 
parameétre n’est normalement nécessaire. Lors de la création d’une nouvelle CPU F avec STEP 7 
Safety, la version disponible la plus élevée est paramétrée par défaut. 


Objets générés par le systeme 
Le bouton « Nettoyer » (Clean up) est prévu pour la maintenance et le support. 


Permettre un chargement cohérent depuis la CPU F (Enable consistent upload from the F-CPU) 


Cette option vous permet de charger sous forme cohérente a partir de la CPU F les données 
projet chargées (y compris des données projet de sécurité). Cette option n’est activable que si la 
CPU F et le microprogramme (firmware) de la CPU F gérent le chargement des données projet (y 
compris les données projet de sécurité). Les CPU S7-1500F avec firmware a partir de V2.1 
gérent cette fonction, mais pas les contréleurs logiciels S7-1500 F. A chaque modification de 
cette option, vous devez charger les données projet dans la CPU F. Notez que I’activation de 
cette option allonge le temps de chargement des données projet de sécurité dans la CPU F. 
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Activer des ID de communication F variables 


Si vous activer cette option, vous pouvez affecter des valeurs variables a partir d’un DB-F global a 
‘entrée DP_DP_ID de I‘instruction SENDP ou RCVDP. 
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6.6.10. Parametres (2) 


General Décoché : 


Genres! *? 7"? - = 


-> bouton désactivé 


+ F-runtiene oroup 
F-Ablauigruppe 1 [RTG1] Assignment 
chs 


Safety mode status 


Ft 


Current mode: 


F-complient PLC date types Sefety mode is activated 


Access protector 
Web server F-edrnwis 

Setungs FC numbes 
Flexible FeLenk 


General 


Coché : 


Safety mode status -> bouton activé 


Disable satety mode 


Current mod Satety mode is actrvated 


Advanced settings 
A Salety mode can be disabled 
‘ MM Activation of F-change history 


Vv Enable consistent uploed from the F-CPU 


A Enable venable F-comnmnunication IDs 


System generated objects 


Create driver instance date blocks without prefix 


Geen up 


Le mode sécurité peut étre désactivé 


En désactivant l’option « Le mode sécurité peut étre désactivé », vous évitez que le mode de 
sécurité d’un programme de sécurité puisse rtre désactivée. 


Apres une modification de cette option, vous devez recompiler le programme de sécurité et le 
recharger dans la CPU F pour que la modification prenne effet. Cela modifie la signature globale F 
de votre programme de sécurité. 


Avant de passer au mode production et avant la réception du programme de sécurité, nous vous 
recommandons de désactiver cette option afin d’emprcher toute désactivation involontaire du 
mode de sécurité. 

Activer l’historique des modifications F 


L’option « Activer l’historique des modifications F » de l’éditeur Safety Administration vous permet 
d’activer la consignation des modifications du programme de sécurité dans un journal. 
L’historique des modifications F se comporte comme I’historique des modifications standard. 


Un historique des modifications F est créé pour chaque CPU F dans le Navigateur du projet sous « 
Données/historiques communs ». 


Les éléments suivants sont enregistrés dans l’historique des modifications F : 
¢ Signature globale F 

* Nom de lutilisateur 

¢ Horodatage de la compilation 

« Chargement du programme de sécurité avec horodatage 

¢ Blocs de sécurité compilés avec signature et horodatage 


L’historique des modifications F peut contenir au maximum 5 000 entrées par CPU F. Lorsque les 
5 000 entrées sont dépassées, un nouvel historique des modifications est créé avec le schéma 
de nom suivant : « Historique modifications F <Nom CPU> AAAA-MM-JJ hh:mm:ss ». 
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6.6.11. Flexible F-Link 


General Flexible Flink settings 
> F-runtime group 

F-blocks Name PLC Dats Type Direction —-F- monitoring ti. Feommunicat 

F-comphant PLC data types f | Erwoiau partenaire typeSafetyCommunucation send 500 Ba5f66ba-4cl 

Access protecbon J Recepbon depuis partenaire — typeSafetyCommurnucation Recowe 500 63¢9e58a-64 

Web server F-admins 3 . , - - 


PO 


shcommuncation UD a Output dats venable o input deta tag 
28a5{66ba-4c0 1-4e4d-863b-2319da4297beS “Envol au partenaive” SEND_ARRAY|] “Envoi au partenaire” ACK. 
VUPRRR RTI AAS “Reception depuis partenaire”.SEND_ARRAY|] “Reception depuis partena. 


Dans la zone « Flexible F-Link », vous créez de nouvelles F-communications, obtenez des 

informations sur les communications existantes et supprimez des communications. 
Prérequis 

* CPU-F S7-1500 avec Firmware V2.0 ou > 

¢ CPU-F S7-1200 avec Firmware V4.2 ou > 


* Version du systéme Safety V2.2 ou > 


Information sur les communications F crées 


Dans la zone « Flexible F-Link », vous recevez des informations sur les communications F 
configurées sous forme de tableau : 


* Nom unique de la communication F au niveau de la CPU 

* Type de données API (UDT) conforme pour envoyer et recevoir des données 
¢ Direction de la communication F : Envoi/réception des données 

* Temps de surveillance F pour la communication F 

¢ UUID de communication F 

¢ Variables pour l’envoi des données 


¢ Variables pour la réception des données 


Générer un nouveau UUID de communication F 


Sélectionnez la ligne entiére et confirmez « Générer UUID » dans le menu. Vous pouvez 
également générer plusieurs UUID simultanément. 


Des informations supplémentaires sur le sujet du F-Link flexible sont disponibles dans le 
chapitre 7 « Communication de sécurité ». 
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6.7. Protection du savoir-faire 


6.7.1. Mise en place 
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Conditions préalables : 


« Un bloc de sécurité, dont vous voulez protéger le savoir-faire, doit étre appelé dans le 
programme de sécurité. 


¢ La protection du savoir-faire d’un bloc de sécurité ne peut étre activée que si le programme 
de sécurité est cohérent. Pour ce faire, compilez le programme de sécurité. 


Remarques : 


« Aucun code source ne figure dans l’impression du programme de sécurité pour les blocs de 
sécurité avec protection du savoir-faire. Réalisez par conséquent une impression du 
programme de sécurité (par ex. pour la vérification du code ou pour la réception du bloc F) 
avant d’activer la protection du savoir-faire. 


* Si vous voulez modifier le code programme et/ou l’interface d’un bloc F avec protection du 
savoir-faire, nous vous recommandons de ne pas ouvrir le bloc F par entrée du mot de passe, 
mais de supprimer entiérement la protection du savoir-faire et de la rétablir aprés la 
compilation. 


¢ Lorsqu’un bloc de sécurité avec protection du savoir-faire ou des blocs de sécurité appelés 
par ce dernier sont renommés, la signature du bloc F avec protection du savoir-faire n’est 
modifiée qu’au moment de l’entrée du mot de passe a |’ouverture ou la suppression de la 
protection du savoir-faire. 
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6.7.2. Suppression 
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6.8. Compilation 


6.8.1. | Compiler le programme de sécurité (1) 


Le programme de sécurité se compile suivant la mrme procédure qu’un programme 
standard. 


Remarques concernant la compilation du programme de sécurité 


Le programme de sécurité doit étre recompile aprés une modification de sécurité de 
la configuration mateérielle, 


Le programme de sécurité ne sera pas compilé de maniére cohérente pour les 
conditions suivantes, : 


~ Si vous sélectionnez un répertoire crée par l'utilisateur dans l’arborescence du 
projet 


~ Si vous sélectionnez un ou plusieurs blocs de programme dans le répertoire 
« Program blocks » dans l’arborescence du projet 


Utilisez ces préconisations pour vérifier la cohérence des blocs F modifiés. 


Compiler un programme de sécurité 


Pour compiler un programme de sécurité, vous devez globalement procéder comme pour la 
compilation d’un programme utilisateur standard. Différentes possibilités d’accés sont prévues a 
cet effet dans STEP 7. Quelle que soit la sélection, un contréle de cohérence est toujours 
effectué. Ce contréle de cohérence s’étend a tous les blocs sélectionnés. Si aucune erreur n’est 
détectée par le contréle de cohérence, le statut du programme de sécurité compilé est cohérent. 


« Le programme de sécurité est cohérent » 


Apres une compilation réussie du programme de sécurité, un programme de sécurité cohérent se 
trouve toujours dans le dossier « Blocs de programme ». Il peut y avoir toutefois des blocs de 
sécurité qui ne sont pas appelés dans un groupe d’exécution d’une séquence de programme de 
sécurité. Ces blocs de sécurité s’affichent dans la rubrique « F-blocks » de I’éditeur Safety 
Administration, mais sont accompagnés d’un « Non » dans la colonne « Utilisé et compilé ». 


Résultat « Le programme de sécurité n’est pas cohérent » 


Si la compilation du programme de sécurité a abouti au résultat « Le programme de sécurité n’est 
pas cohérent », seuls les blocs de sécurité sélectionnés ont été compilés. Les blocs de sécurité 
et les blocs systeme de sécurité supplémentaires n’ont pas été générés. Le programme de 
sécurité du dossier « Blocs de programme » n’est pas cohérent et n’est donc pas exécutable. 
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6.8.2. | Compiler le programme de sécurité (2) 
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Compiler le programme de sécurité 


La cohérence du programme de sécurité hors ligne n’est assurée que si le programme de 
sécurité est entigrement compilé aprés chaque modification relative a la sécurité, que ce soit 
dans la configuration matérielle ou le paramétrage ou dans le programme de sécurité lui-méme. 
Seul un programme de sécurité cohérent recoit une signature hors ligne. 


Logiciel (uniquement modifications) 


Seuls les blocs modifiés du programme standard et du programme de sécurité sont compilés. 


Logiciel (tous les blocs) 


Tous les blocs du programme standard et du programme de sécurité sont compilés. 


Signalement d’erreurs de compilation 


Si la compilation s’est correctement déroulée, vous pouvez vérifier dans la fenrtre d’inspection, 
sous « Info > Compiler », si des messages d’erreur ou des avertissements ont été émis. Pour 
savoir comment corriger les erreurs de compilation, consultez la rubrique « Corriger les erreurs 
de compilation » dans |’Aide de STEP 7. 
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6.9. Charger dans la CPU 


6.9.1. | Charger le programme de sécurité dans la CPU (1) 


Mrme procédure que pour le chargement d’un programme standard. 
Remarques concernant le chargement du programme de sécurité 


* Seuls le chargement cohérent ou le chargement de tous les blocs sont 
possibles 


° Charger un programme de sécurité cohérent n’est possible qu’en mode STOP. 


* Le programme de sécurité doit également étre rechargé apres une modification 
d’un paramétre de sécurité dans la configuration mateérielle. 


Charger le programme de sécurité 


Pour charger un programme de sécurité, procédez de la méme maniére que pour charger un 
programme utilisateur standard en utilisant les différentes possibilités d’accés de STEP 7 : 


¢ Dans la boite de dialogue « Apergu du chargement », entrez les données (par ex. mot de 
passe de la CPU F) et définissez les conditions préalables requises pour le chargement 
(par ex. mise a l’état STOP de la CPU F avant le chargement). 


* Les résultats du chargement s’affichent dans la boite de dialogue « Charger les résultats ». 


Charger le programme de sécurité dans la CPU 


La cohérence du programme de sécurité de la CPU n’est assurée que si le programme de 
sécurité est entigrement compilé et chargé dans la CPU aprés chaque modification relative a la 
sécurité, que ce soit dans la configuration ou le paramétrage matériels ou dans le programme de 
sécurité lui-mrme. Cela n’est possible qu’a I’état STOP de la CPU. Seul un programme de 
sécurité cohérent se voit attribuer une signature en ligne. 
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6.9.2. Charger le programme de sécurité dans la CPU (2) 
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6.9.3. | Charger le programme de sécurité dans la CPU (8) 


Apetcu du chargeme 

Q ete nets zeros 

tat ‘ Gble Messege aceon 
% © = srasue La proctdure de chaspement n'est pet extcunte, cay des condae. 


 & Pretection Protection centre teat ectés nom extersé 


Les eppareds conmectts dun réteeu Sentrepme ov b meemet 
Gorvent bre Comeciement peotépes Contre les ecces non 
sutorsés, pet ex pes futéieten de sere deus et is tegmertaton 
de réseau Pour plu Cintormenors rut indus wel Secumy. 
tttreryous § fedresse suvente 

hing www Lemans Comanguitelsecurty 


© Acréner les modules Les modules sont acnétés pour le chargement dem fappered. 


> Molde pene Mot Ge posse obtgetoes | 


Senaser ut mot de passe pou evow un ecceés dhrniné Lavan 
eccét de sécurité) su module “$7-15159" 


© Configuration des _ Supprmer et rempiace: les données systeene put le cBle Onarger dam (egpered 


Lupprmer et reregiecer le confgureten ¢epperedh extiarce 
pour "S7-1513F" dens le Obie? 


» Logeie! Chacger le ogee! dens l'eppenvil Crargeme here 


© Setety progem Loed safety program to dewce Comsatent da 
» Sewnloed tod. The blocks are cot evedeble onine 
© Overnnte enine Biscks thet are evedebte enine wil be overnrimen 
® Oeletecnine  Siocks thet ete arly available online will be deleted 


ecos 89 8Oeear- - 


Pour les CPU F S7-1200/1500, seule la valeur « Chargement cohérent » est disponible dans la 
boite de dialogue « Apergu du chargement ». Il n'est pas possible de sélectionner un chargement 
séparé du programme standard et du programme de sécurité. Dés que des modifications ont été 


effectuées dans le programme standard ou dans le programme de sécurité, le programme 


utilisateur global cohérent est automatiquement chargé. 
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6.10. Charger sur PG/PC 


6.10.1. Charger le programme de sécurité sur PG/PC 
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Charger le programme de sécurité sur une PG / un PC (S7-1200, S7-1500) 


La fonction « Chargement d’un appareil (logiciel) » ou « Chargement de l'appareil comme 
nouvelle station (matériel et logiciel) » n’est possible pour les CPU F S7-1500 que si l’option 
« Permettre un chargement cohérent depuis la CPU F » est activée dans |l’éditeur Safety 
Administration et que les données projet ont été chargées dans la CPU F. 


Pour charger les données projet (y compris les données projet de sécurité) dans un PG/PC, 
procédez comme pour un programme standard. Si plusieurs CPU F sont accessibles via un 
réseau (par ex. Industrial Ethernet) a partir de la PG / du PC, vous devez vous assurer que les 
données projet sont chargées a partir de la CPU F correcte. Par ex. avec « En ligne & 

Diagnostic » > « Accés en ligne » > « Clignotement des LED ». Une fois le chargement de 
l'appareil correctement effectué, vous pouvez poursuivre le traitement comme avec un projet créé 
hors ligne. Vous pouvez charger des blocs de sécurité individuels dans une PG / un PC 
indépendamment de l’option « Permettre un chargement cohérent depuis la CPU F ». Vous ne 
pouvez pas charger dans une PG/ un PC des blocs de sécurité individuels avec protection du 
savoir-faire. 
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6.11. Tester le programme de sécurité 


Modification des données du programme de sécurité par 
forgage de variables 


Outre les données toujours forgables du programme utilisateur standard, 
vous pouvez modifier les données suivantes du programme de sécurité en 
mode de sécurité désactive : 


- Mémoire image des entrées et sorties de la périphérie F 


- Variables dans les DB globaux de sécurité (F-DB) et les DB d’instance des F-FB 


Tester le programme de sécurité 


Aprés la création d’un programme de sécurité, vous devez effectuer un test de fonctionnement 
complet de votre tkche d’automatisation. Si vous modifiez un programme de sécurité ayant déja 
subi un test de fonctionnement complet, il suffit de tester les modifications. 


Visualiser 


En principe, toutes les fonctions de test avec accés en lecture (par ex. visualisation de variables) 
sont également disponibles pour les programmes de sécurité en mode sécurité activé. 


Forcer 


Le forgage de données du programme de sécurité et les accés en écriture au programme de 
sécurité ne sont possibles que de manieére limitée et en mode sécurité désactivé. 
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6.12. Comparer des programmes de sécurité 
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Comparer des programmes de sécurité 


Vous pouvez comparer des programmes de sécurité hors ligne/en ligne ou hors ligne/hors ligne 
via l’éditeur de comparaison de STEP 7. La procédure est la méme que pour les programmes 
utilisateur standard. Lors de la comparaison de programmes de sécurité, les contenus des blocs 
de sécurité sont également comparés. On peut donc utiliser une comparaison hors ligne/hors 
ligne pour la réception de modifications. Pour activer cette comparaison, activez le critére de 
comparaison « Safety » et désactivez tous les autres. 
Résultat de la comparaison de programmes de sécurité 
Les informations affichées indiquent si le programme de sécurité est cohérent. Si la liaison avec 
la CPU F est interrompue lors de la comparaison, le résultat de la comparaison sera incorrect. 
Options de filtres pour la comparaison 


En utilisant les filtres de l’éditeur de comparaison, vous pouvez limiter le résultat de la 
comparaison aux groupes de blocs suivants : 


¢« Comparer uniquement les blocs de sécurité 

* Comparer uniquement les blocs de sécurité pertinents pour la réception 
* Comparer tous les blocs 

* Comparer uniquement les blocs standard 


Vous disposez en outre des deux options de filtre « Afficher uniquement les objets différents » et 
« Afficher les objets identiques et différents » de STEP 7. Pour la comparaison de programmes 
de sécurité, les blocs de sécurité du dossier « Blocs systeme » sont également pertinents. 


Imprimer le résultat de la comparaison 


Vous pouvez imprimer le résultat de la comparaison a l’aide des commandes « Projet > 
Imprimer » de la barre de menus ou de l’icéne « Imprimer » de la barre d’outils. Sélectionnez « 
Imprimer objets/plage » « Tous » et « Propriétés » « Tous ». 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 6-45 


SIMATIC TIA Portal Safety Advanced 


6.13. Bloc de données : RTG1Sysinfo 
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DB d'information sur le groupe séquentiel (RTG1SysInfo) 


Le DB d'information sur le groupe séquentiel d’exécution du programme de sécurité met a votre 
disposition des informations centralisées sur chaque groupe séquentiel de sécurité et sur 
l'ensemble du programme de sécurité. 


Un DB d’information sur le groupe séquentiel de sécurité est automatiquement créé lors de la 
création d’un groupe séquentiel d’exécution du programme de sécurité (F-runtime group). Un 
nom symbolique lui est attribué par le systeme, par ex. « RTG1SysInfo ». Vous pouvez modifier 
ce nom dans I’éditeur Safety Administration. 


Vous avez accés au contenu du DB d’information sur le groupe d’exécution d’une séquence de 
programme de sécurité par un adressage « entiérement qualifié », soit de maniére groupée via le 
type de données API (UDT) F_SYSINFO mis a disposition par le systeme F (par ex. 

« RTG1Sysinfo.F_SYSINFO »), soit a partir d’informations individuelles (par ex. 

« RTG1SysInfo.F_SYSINFO.MODE »). 


Remarque 


Les données « T1RTG_CURR » et « T1RTG_LONG » ne sont actuellement pas prises en charge 
par STEP 7 Safety. 
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6.14. Spécificités du programme de sécurité (1) 


Enable input EN et enable output ENO 
Enable input EN et enable output ENO ne sont pas utilisables. 


Exception: (S7-1200, S7-1500): 
Avec les instructions suivantes, vous pouvez 


connecter la sortie de validation ENO pour 
tester un dépassement de capacité : 
ADD, SUB, MUL, DIV. NEG, ABS, CONVER a Seeeree 


Accés direct a la périphérie I/Q 

Les I/Q sont uniquement adressables via 
la mémoire image dans le programme de 
sécurité. 

L’accés direct aux I/Q n’est pas possible. 


Autres restrictions 
« L’accés Slice n’est pas possible dans le programme de sécurité. 
* L’accés aux blocs non optimisés n’est pas possible avec les blocs de sécurité. 


¢ Notez, lorsque vous utilisez la zone d’opérandes de données locales temporaires, que le 
premier accés d'un élément de données locales dans un bloc de sécurité principal F-FB/F-FC 
doit toujours étre un accés en écriture. Cela permet d'initialiser l'€lement de données locales. 


« Il n'est pas possible d'accéder a des données locales statiques dans des instances 
uniques/multiples d'autres FB-F. 
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6.15. Speécificites du programme de sécurité (2) 


Utilisation du type de données ARRAY et ARRAY[*] 
¢ Uniquement les types de données INT et DINT 


Datentyp 
¢ Uniquement dans DB F globaux 
¢ Limites pour ARRAY: 0 a maximum 10000 


ve . safeSpeed[O] int 
: : . . sefeSpeed[1] int 
* ARRAY[*] uniquement possible en paramétre 


. sefeSpeed[2] int 
& . sateSpeed|3] int 
(InOut) dans les F-FC et F-FB —o 
Uniquement accés en lecture dans le 


programme de sécurité avec les instructions: 


RD_ARRAY_| 
RD_ARRAY_DI 


seteSpeed|* 


7 Metrwerk 1; Ausneh sichere Ceachoindighelt 
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6.16. 


Echange des données entre le programme standard et le 
programme de sécurité 


Sont autorisés dans le programme standard : 
l'accés en lecture aux données de sécurité comme : 
* les blocs de données de sécurité 
* lamémoire image des modules F 
les évaluations des états de signaux et de fonctionnement courants 
L’acces en écriture aux données F n’est pas autorisé 
Sont autorisés dans le programme de sécurité : 
acces en lecture OU en écriture aux données standard comme : 
* les blocs de données 
* la mémoire image standard 
(les mémentos) 


Les données standard ne doivent pas étre modifiées pendant 
toute la durée du programme de sécurité — peut entrainer des alterations 
de données et une mise a l’état STOP de la CPU 


Transfert de données du programme de sécurité vers le programme utilisateur standard 


Le programme utilisateur standard peut lire toutes les données du programme de sécurité, 
par ex. via des accés symboliques (entiérement qualifiés) : 


* aux DB d’instance des F-FB (« "Nom DB Instance".Signal.x ») 
* aux F-DB (par ex. « "Nom F_DB".Signal_1 ») 


* ala mémoire image des entrées et sorties de la périphérie de sécurité (par ex. 
« "Arrét_urgence_1" » (| 5.0)) 


Transfert de données du programme utilisateur standard vers le programme de sécurité 


Dans le programme de sécurité, il n’est possible de traiter par principe que des données de 
sécurité ou des signaux de sécurité issus de la périphérie de sécurité et d’autres programmes de 
sécurité (dans d’autres CPU F), car toutes les variables du programme standard ne sont pas 
sécurisées. 


Si vous devez toutefois traiter des variables issues du programme utilisateur standard dans le 
programme de sécurité, vous pouvez évaluer soit des mémentos du programme utilisateur 
standard, des variables d’un DB standard ou la mémoire image des entrées (MIE) de la 
périphérie standard dans le programme de sécurité (voir également le tableau des plages 
d’opérandes prises en charge au chapitre « Restrictions dans les langages de programmation 
LOG/CONT »). 


Attention : les modifications structurelles des DB standard utilisés dans le programme de sécurité 
peuvent entrainer des incohérences du programme de sécurité et conduire, le cas échéant, a une 
demande de mot de passe. Aprés la compilation, la signature globale F correspond dans ce cas a 
nouveau a la signature d’origine. Pour éviter cet effet, utilisez des « blocs de données de 
couplage » entre le programme utilisateur standard et le programme de sécurité. 
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6.17. Accés ala mémoire image 


A partir du 
programme standard 


wm viv ive 
mm viv [sl v 
rzcscane 
czcseeea 


SM 


Mémoire image 
standard 


SM 


NS 
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6.18. Accés aux blocs de données 


A partir du 
programme standard 


lecture écriture 


Bloc de données 
standard 


: 


Bloc de données/mémentos 


==: 


Pour que les données du programme de sécurité puissent étre directement écrites dans le 
programme utilisateur standard (par ex. sortie DIAG de l’instruction SENDDP), vous pouvez 


écrire des blocs de données du programme utilisateur standard dans le programme de sécurité. 


Une variable écrite ne peut cependant pas étre lue dans le programme de sécurité. 


Vous pouvez également écrire des mémentos dans le programme de sécurité. Un mémento écrit 


ne peut cependant pas étre lu dans le programme de sécurité. 
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6.19. Recommandation pour l’échange de données entre programme 
utilisateur standard et programme de sécurité 


Programme standard 


« Utiliser 2 blocs de données standards 
pour l’échange de données bidirectionnel 
afin de garantir la lisibilité. 


* Vous ne devez pas sauvegarder d’autres 
informations (par ex. des données de 
diagnostic du programme standard) dans 
le blocs de données car chaque 
modifications du bloc de données induit 
une modification du programme de 
sécurité. 


Avantages 
* Groupe d’exécution F-runtime réduit 
« Meilleure vue d’ensemble des données échangées 


« Les modifications du concept de diagnostic et de signalisation dans le programme utilisateur 
standard n'affectent pas la signature du programme de sécurité 


¢« Réduction des risques de temps d'arrét dus a la corruption des données en raison de l'accés 
en écriture au programme de sécurité 


¢ Saisie simplifige des blocs F 


« Les modifications apportées au programme utilisateur standard peuvent étre chargées sans 
arréter la CPU 


« Le programme utilisateur standard et le programme de sécurité peuvent étre créés 
indépendamment l'un de l'autre, a condition que des interfaces aient déja été définies 


Utilisation d’entrés non sécuritaires dans le programme de sécurité 


Les entrées standard qui sont requises directement dans le programme de sécurité doivent étre 
lues directement dans le programme de sécurité. Un « détour » par le programme utilisateur 
standard doit étre évité. 


En effet, des signaux non liés a la sécurité sont également inclus dans I'intégrité systeématique de 
l'application. Des exemples typiques sont les boutons d'acquittement / de réinitialisation ou les 
sélecteurs de mode. Le choix du bouton / interrupteur autorisé pour réinitialiser une fonction de 
sécurité est un résultat direct de l'évaluation des risques. Une modification des dispositifs de 
commande doit donc influencer la signature et ne doit étre effectuée qu'accompagnée d'une 
réévaluation des risques et d'un test de validation des modifications. 
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6.20. Réinitialisation de la commande opérationnelle 


_Les normes en vigueur exige qu’un réinitialisation de la fonction 


de sécurité ne provoque pas de redémarrage de la machine. 


« Verrouillez le processus de pilotage du programme standard avec un signal de validation issu du 
programme de sécurité. Ainsi un arrét de sécurité entraine également un arrét du pilotage du processus. 


* Transférez le signal de validation issu du programme de sécurité en utilisant un bloc de données global. 


Programme standard Programme safety 


Des actionneurs de sécurité sont souvent utilisés pour la commutation opérationnelle. Les 
normes de sécurité applicables exigent qu'une réinitialisation de la fonction de sécurité ne 
déclenche pas le redémarrage de la machine. Lorsque la fonction de sécurité est déclenchée, la 
commutation de fonctionnement doit donc étre réinitialisée et une nouvelle mise en marche doit 
étre demandée. 
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6.21. Contrdle de plausibilité 
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Condition standard 


Programmer les tests de plausibilité 


¢ Utilisez les instructions de comparaison pour vérifier si les variables du programme utilisateur 
standard dépassent ou non les limites haute et basse autorisées. Vous pouvez ensuite 
influencer votre fonction de sécurité avec le résultat de la comparaison. 


¢ Utilisez la fonction ---( S )--- : Set de la sortie, ---( R )--- : reset de la sortie ou SR : bascule 
SR, par exemple, avec des variables du programme utilisateur standard pour permettre de 
couper un moteur mais pas de le remettre en route. 


Pour les opérations de mise en marche, combinez des variables du programme utilisateur 
standard a l’aide par ex. d’une opération ET avec des conditions de mise en marche issues 
de variables de sécurité. 


Ces variables ne sont pas générées de manieére sécuritaire, il faut s’assurer par des contréles de 
plausibilité complémentaires dans le programme de sécurité que des états dangereux ne 

puissent apparaitre. Si vous utilisez un mémento, une variable d’un DB standard ou une entrée de 
la périphérie standard dans les deux groupes d’exécution F, alors il faut réaliser le contrdle de 
plausibilité dans chaque groupe séparément. 
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6.22. Exercice 1: Configurer le Touchpanel 


SIEMENS SIMATIC HMI 


~ 


~ 
= > Marche application Fonctions Safety 


programmes avec 


STEP 7 Safety 
a SITRAIN & Online Support dans le TIA Portal 


Enoncé 


Votre projet ne contient pas encore d’interface homme machine. Plutét que de procéder a une 
nouvelle configuration complete, vous allez utiliser un projet IHM préconfiguré ainsi que les blocs de 


programme nécessaire qui serviront d’interface entre l’automate et le Touchpanel a partir de la 
bibliothéque globale « Safety_Libfr ». 


Marche a suivre 


La marche a suivre est expliquée dans les pages suivantes. 
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6.22.1. Exercice 1 : Copier le projet Touchpanel, le DB Interface et les FC de 
bibliotheque 
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Procédure 


1. Ouvrez la bibliotheque globale 
« D:\ Exercices_TIA_PortalV16\ TIA_SAFETY\ Safety_Libfr » 


2. Copiez par glisser-déposer les éléments de la bibliothéque a l’emplacement correspondant 
de votre projet (voir figure) 


Copiez par glisser-déposer I’IHM 


4. Enregistrez votre projet 
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6.22.2. Exercice 1 : Adapter la connexion de I’IHM 


TIA_Safety * Appareils & Réseaux 


eeeeeeneees @ Vue topotogique jd Vue du réseau on Vue des appartils 
* 


% Mise oF itsenu Listens . i } ‘ 
. 


YT PPD n 


" 
TP700 Comt.. oO 


$7-1513F et200sp 
CPU 1513F-.. IM 153-6 PRN... 


S7-1513F © 


PNNE_? 


< e nkeesperssp wes. 


; < . s - 
Vue dememble durés— | Uaisons, | Caugweweieg &— | VPN | TeleControl 


Whom toca! ee le batzon Hered Sexmemittincel Milocaie (hess) © partensee( 


L’écran tactile ajouté doit a présent étre mis en réseau et connecté hors ligne au réseau Ethernet. 


Procédure 


1. Lancez Il’éditeur « Appareils & Réseaux » dans le Navigateur du projet, allez dans la « Vue du 
réseau », puis sélectionnez « Liaisons ». 


2. Placez le pointeur de la souris sur l’interface Ethernet de l’appareil IHM et tracez une liaison 
avec la CPU en maintenant le bouton gauche de la souris. La liaison est établie, le sous- 
réseau correspondant et les paramétres destinés a la mise en réseau (adresse IP et masque 
de sous-réseau) sont automatiquement créés. 


3  Sil’adresse IP courante de |l’appareil IHM ne correspond a aucun sous-réseau de la CPU, le 
sous-réseau doit étre sélectionné. 


Note : 

Dans le réglage de base, la vue du réseau tabellaire est souvent représentée miniaturisée a 
droite de la vue graphique du réseau. 

Avec « Basculer l’orientation du fractionnement » vous pouvez commuter le fractionnement entre 
horizontal et vertical pour une meilleure visibilité. 
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6.22.3. Exercice 1 : Adapter l’adresse IP et le nom d’appareil PROFINET 
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Enoncé 


Une fois |’écran tactile mis en réseau et connecté, vous devez vérifier la liaison et adapter 
ladresse IP et le nom PROFINET. 


Procédure 


1. Attribuez a l’écran tactile l’adresse IP qui figure sur le feuillet joint a la valise. Ce paramétrage 
peut rtre effectué via l’onglet « Propriétés » de la fenrtre d’inspection. 


2. Attribuez en outre le nom d’appareil PROFINET qui figure sur le feuillet joint a la valise. Vous 
pouvez également le laisser générer a partir du nom de la station via « Générer 
automatiquement le nom d’appareil PROFINET » ou manuellement par suppression de la 
coche. 
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6.22.4. 
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Exercice 1 : Synchroniser les variables IHM et API et compiler 
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Les variables IHM sont repérées en rouge, car la liaison entre les variables API et les variables 
IHM n’est pas correcte. Votre tache consiste maintenant a réaliser une synchronisation entre les 
variables IHM et les variables API. 


Procédure 


1. Ouvrez les « Variables IHM » de l'appareil IHM 


2. Corrigez les liaisons erronées de maniére qu’il ne subsiste plus aucune entrée rouge dans la 
table des variables 


Astuce : modifiez la premiére liaison erronée, puis utilisez cette modification pour toutes 
les autres variables (cf. : Excel) 


3. Synchronisez ensuite les variables WinCC (voir figure) 
Compilation compléte du projet IHM (matériel et logiciel) 


Enregistrez votre projet 
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6.22.5. Exercice 1 : Chargement de |’IHM et de la CPU 
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Enoncé 

Les projets IHM et CPU désormais terminés doivent étre chargés. 
Procédure 

1. Chargez la CPU 

2. Chargez l'IHM 

3. Enregistrez le projet 
Résultat 


L’écran tactile doit a présent rtre relié a votre CPU. Vous pouvez visualiser les variables CPU du 
bloc de données « DB_OP » alaide de |’écran tactile. 


Pour vérifier le bon fonctionnement du systéme, affichez l’écran « Poste de contrdle » de l’écran 
tactile, puis cliquez sur le bouton « Marche ». En mode visualisation, la variable « Marche » doit 
prendre la valeur « 1 » dans le bloc de données « DB_OP » du dispositif de levage. 
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6.22.6. Exercice 1 : Assurer l’@change de données cohérent entre IHM et CPU 
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Enoncé 
Afin de garantir la cohérence des données, les données écrites par I'IHM dans le programme 
utilisateur sont copiées dans une zone de données séparée (DB "ProgrammData") au début du 
cycle. 
"DataOp".hmiDataToProgram — "ProgrammData".dataFromHmi 
Les données qui sont lues/évaluées par I'IHM doivent étre transférées dans la mémoire tampon 
de données correspondante (DB "DataOp") a la fin du programme. 
"ProgrammData".operatingModes — "DataOp".programDataT oHmi 
Note : Les CPU S7-1200/1500 n'utilisent plus de point de contréle de cycle (S7-300/400) pour la 
mise a jour des variables IHM. Les variables sont mises a jour en cours d'exécution. 

Procédure 


1. Programmez les transferts directement dans votre programme cyclique standard (OB1). 


ecture des données de I‘IHM (premier réseau) 


ransfert des données vers I’IHM (dernier réseau) 


2. Sauvegardez votre projet. 
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6.23. Affichage « Mode de sécurité désactivé » 
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Enoncé 
Procédez a la mise en place de la structure de base du programme de sécurité et évaluez la 
mode de fonctionnement de sécurité. Si le mode de sécurité est désactivé il faut que l'utilisateur 
en soit immédiatement averti via l'IHM (copie écran). 
Remarque 
L’affichage a l’IHM est préconfiguré et doit uniquement rtre piloté par le tampon de données. 
Procédure 


La procédure est expliquée dans les pages suivantes. 
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6.23.1. 
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Exercice 2 : Effacer un groupe d’exécution existant 
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Un groupe séquentiel étant automatiquement créé lors de la création d’une CPU F dans le 
TIA Portal. L’effacement du groupe séquentiel créé automatiquement est uniquement réalisé a 
des fins d’exercice afin d’illustrer la création d’un nouveau groupe séquentiel. 


Enoncé 


1. Ouvrez le groupe séquentiel actuel « Safety Administration -> F-runtime group 
-> F-runtime group 1[RTG1] ». 


2. Effacez le groupe d’exécution séquentiel du programme de sécurité. 


3. Effacez les blocs F encore existants du groupe supprimé. 


4. Enregistrez votre projet. 
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6.23.2. Exercice 2 : Création manuelle d’un nouveau groupe d’exécution 
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Enoncé 
Vous devez a présent créer un nouveau groupe séquentiel. Ultérieurement celui-ci contiendra 
l'ensemble de votre programme de sécurité. 

Procédure 


1. Créez un nouveau groupe séquentiel 
« Safety Administration -> F-runtime group -> Add new F-runtime group ». 


2. Sélectionnez le nom et les paramétres comme indiqué sur la figure. 
Configurez le groupe d’exécution séquentiel du programme de sécurité. 
Activez option « Safety mode can be disabled » 

« Safety Administration > Settings > Advanced settings ». 

5. Enregistrez votre projet. 
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6.23.3. Exercice 2 : Création du Pre-processing d’un groupe d’exécution 
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Enoncé 


Pour garantir un transfert de données cohérent, une fonction de prétraitement du groupe 
d'exécution F doit étre créée et affectée au groupe d'exécution. 


Procédure 


Créer une fonction standard « PreprocessingSafety ». 
2. Associer la fonction au groupe d’exécution F existant en tant que prétraitement. 
Note : Le post-traitement n’est pas nécessaire. 


3. Sauvegardez votre projet. 
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6.23.4. Exercice 2 : transfert de données vers le programme de sécurité 
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Enoncé 
Pour garantir un transfert de données cohérent, toutes les données standards qui seront 
nécessaires plus tard dans le programme de sécurité sont transférées dans le prétraitement du 
groupe d’exécution F. 
Mode de fonctionnement de I’étiqueteuse : 
"ProgrammData".operatingModes.operationalOnLabeling — "DataToSafety".modeLabeling 
Mode de fonctionnement du transport : 
"ProgrammData".operatingModes.operationalOnTransport — "DataToSafety".modeTransport 
Commande jog pour le transport : 
"ProgrammData".dataFromHmi.jogTransport — "DataToSafety".jogTransport 

Procédure 


Programmez le transfert de données directement dans votre fonction de prétraitement « 
"PreprocessingSafety" » 


Transfert des modes de fonctionnement requis (étiqueteuse et transport) 


Transfert de la commande jog de l’IHM 


4. Sauvegardez votre projet. 
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6.23.5. Exercice 2 : définition des groupes de blocs et du « Main_Safety » 
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Enoncé 
L’utilisateur doit rtre prévenu immédiatement en cas de désactivation du mode de sécurité de la 
CPU. Cet avertissement doit rtre réalisé au moyen d’un message affiché sur le Panel. Le 
regroupement judicieux des blocs de programme permettra une meilleure lisibilité du programme. 
Procédure 


1. Insérez un groupe de blocs pour le programme de sécurité « Programme de sécurité » et un 
autre pour le programme standard « Programme standard ». Déplacer les blocs concernés 
dans le répertoire respectif. (DB_OP.ModeSafetyDisabled) reste affiché tant que le mode de 
sécurité de la CPU est désactivé (RTG1SysInfo. MODE) 


2. Programmez le « Main Safety » de telle maniére que « Mode de sécurité désactivé » (DB 
" DataFromSafety" ModeSafetyDisabled) soit affiché tant que le mode de fonctionnement de 
sécurité soit désactivé sur la CPU (F-DB "RTG1SysInfo". MODE. 


Note : 

Le bloc systeme RTG1SyslInfo se trouve dans le répertoire des blocs sous 
« Blocs de programme > Blocs systeme > STEP 7 Safety » 

Charger les blocs dans la CPU. 


4. Enregistrez votre projet 


Interfaces concernées 


données "DataFromSafety” ModeSafetyDisabled 


Suite page suivante 
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Résultat 


La structure de base du programme de sécurité est maintenant créée, et le mode de sécurité 
désactivé est affiché a l'utilisateur sur I'lHM. Testez la fonctionnalité en désactivant le mode de 
sécurité dans « Safety Administration » et en vérifiant le message sur I’IHM. 


General 


Safety mode status 


Current mode: | Safety mode is activated. 


Mode de sécurité désactive. 


03/02/2020 15:41 
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6.24. Passivation des modules F 


6.24.1. Principe 
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Passivation 
Le concept de sécurité repose sur le principe qu’il existe un état de sécurité pour toutes les 


grandeurs du processus. Pour les modules de périphérie de sécurité, cette valeur de sécurité est 


état « 0 ». Lorsque le module de périphérie de sécurité détecte une erreur, il passive le canal 
concerné ou le module complet donc tous les canaux ce qui signifie que les canaux sont alors 


mis dans un état sor). 
La passivation d’un canal ou d’un module F peut intervenir... 
* au démarrage du systeme F 


* encas d’erreurs de communication entre la CPU F et la périphérie de sécurité 


* encas de détection d’erreurs par la périphérie de sécurité (rupture de fil, court-circuit, court- 


circuit transversal...) 
* via le programme F (a programmer par l'utilisateur). 


Un module F-DI passivé se signale par |’état logique « 0 » ala mémoire image des entrées 


(MIE) de la CPU pour les canaux passivés, indépendamment des signaux effectifs des capteurs 


de l’installation. 


Un module F-DO passivé met les canaux de sortie passivés hors courant ou tension, 


indépendamment des états de sortie transmis par la CPU a partir de la mémoire image des 


sorties (MIS). 


Dépassivation 


La dépassivation d’un canal ou d’un module F peut intervenir... 


« automatiquement lors du redémarrage de la CPU F aprés une correction d’erreur (sauf en 


cas d’erreurs de communication) 


* via le programme F (a programmer par l'utilisateur). 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 


6-69 


SIMATIC TIA Portal Safety Advanced 
6.24.2. Blocs de données de la périphérie de sécurité 


DB de périphérie F 
* Est généré pour chaque module F lors de son insertion dans la vue des appareils 
* Contient les variables d’évaluation de l'état du module 


¢ Est alimenté avec les données du driver PROF Isafe 


Utilisation des variables du DB de périphérie F 
* Evaluation des valeurs du processus ou de remplacement 
* Réintégration des I/Q (ACK_REl) apres: 
* Des erreurs de communication PROF lsafe 
* Der erreurs sur modules F et des erreurs de canal 


* Passivation manuelle, dépendant de certains états du programme de sécurité 
(« passivation du groupe », PASS ON) 


DB de périphérie de sécurité 


Un DB de périphérie de sécurité est automatiquement créé pour chaque module de périphérie de 
sécurité (en mode sécurité) lors de la configuration de la périphérie de sécurité. Le DB de 
périphérie de sécurité contient des variables que vous pouvez évaluer dans le programme de 
sécurité ou encore que vous pouvez ou devez positionner. La modification directe des valeurs de 
départ de variables dans le DB de périphérie de sécurité n’est pas autorisée. Lors de la 
suppression d’une périphérie de sécurité, le DB de périphérie de sécurité correspondant est 
également supprimé. 


Utilisation de l'accés a un DB de périphérie de sécurité 


Vous accédez aux variables du DB de périphérie de sécurité : 


* pour réintégrer la périphérie de sécurité aprés des erreurs de communication/de périphérie de 
sécurité/de canaux 


* lorsque vous voulez passiver la périphérie de sécurité en fonction de certains états de votre 
programme de sécurité (par ex. passivation groupée) 


* pour reparamétrer des esclaves normalisés DP de sécurité/des périphériques d’E/S 
normalisés 


* lorsque vous voulez déterminer si des valeurs de remplacement ou de processus ont été 
transmises. 
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6.24.3. Variables des DB de périphérie 


© ‘op F-¥0 data blocks 
JB F00004_F-DI8x24VDCHF_1 [DB30002) 
GB F00010_F-PM-E24VDCIBAPPMST_1 [0830003] 
gB F00017_F-DQ4x24VDCI2APMHF_1 [0830005] 
f@ F00022_F-Disx24vDCHF_2 [> 
>» = F-commurucation DBs 
> <> Compiler blocks 
> ‘ab Objets technologiques 
> Gad Sources externes 


PASS_ON 


La variable PASS_ON permet d’activer la passivation d’une périphérie de sécurité, par ex. en 
fonction de certains états de votre programme de sécurité. La variable PASS_ON du DB de 
périphérie de sécurité permet uniquement la passivation de la périphérie de sécurité complete, la 
passivation par canal n’est pas possible. Tant que PASS_ON = 1, la périphérie de sécurité 
correspondante est passivée. 


ACK_NEC 


Une passivation de la périphérie F concernée a lieu si la périphérie F reconnait une erreur de 
périphérie. Une erreur de canal détectée est suivie, suivant le paramétrage retenu, d’une 
passivation du canal concerné ou de l'ensemble des canaux. La réintégration de la périphérie F 
concernée s’effectue en fonction de ACK_NEC: 


« Avec ACK_NEC = 0 vous paramétrez une réintégration automatique. 


« Avec ACK_NEC = 1 vous paramétrez une réintégration par acquittement de l'utilisateur. 


ACK_REI 


Si le systeme F a reconnu une erreur de communication pour une périphérie F ou une erreur de 
périphérie alors la périphérie F concernée est passivée. La réintégration du module F ou du canal 
a la suite de I’élimination des erreurs est réalisée par acquittement de l’utilisateur avec un front 
positif pour la variable ACK_REI de la périphérie F. 


* Toujours aprés des erreurs de communication 


« Aprés des erreurs de périphérie F ou de canal uniquement si paramétrage manuel de 
l'acquittement avec ACK_NEC = 1 


Lors de la réintégration a la suite d’une erreur de canal c’est l'ensemble des canaux dont le 
défaut a été supprimé qui sont réintégrés. 


Un acquittement est réalisable si la variable ACK_REQ=1 


Votre programme de sécurité doit comporter un acquittement pour chaque périphérie F via la 
variable ACK_REI 
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IPAR_EN 


La variable IPAR_EN correspond a la variable iPar_EN_C du profil de bus PROF Isafe a partir de 
la spécification PROFlsafe V1.20. Pour savoir quand mettre a « 1 » ou a « O » cette variable lors 
d’un reparamétrage d’esclaves DP normalisés de sécurité/périphériques d’E/S normalisés, 
reportez-vous a la spécification PROF Isafe a partir de V1.20 ou a la documentation de l’esclave 
normalisé DP de sécurité/périphérique d’E/S normalisé. Notez qu’avec IPAR_EN = 1, aucune 
passivation de la périphérie de sécurité concernée n’est déclenchée. Si IPAR_EN = 1 doit 
déclencher une passivation, vous devez en plus mettre la variable PASS ON a « 1 ». 


DISABLE 


La variable DISABLE permet de désactiver une périphérie F. Le maintien de DISABLE = 1 
provoque la passivation de la périphérie concernée. II n’y a alors pas d’entrée dans le tampon de 
diagnostic de la CPU-F pour cette périphérie F (par ex. a cause d’erreur de communication). Les 
entrées en déja en attente sont qualifiées de disparaissant. 


PASS_OUT 


Avec l'état « 1 », le module signale qu’il s’est passivé lui-mrme a la suite d’une détection 
d’erreur. Si le module a été passivé par le programme F via la variable PASS_ON, le module 
laisse la variable PASS_OUT a/’état « 0 ». 


QBAD 


Avec l'état « 1 », le module signale qu’au moins un canal est passivé, que la passivation ait été 
provoquée par le module lui-méme ou par le programme F via la variable PASS_ON. 


ACK_REQ 


Apres une correction d’erreur, le module encore passivé signale avec ACK_REQ='1' qu’il est prrt 
pour la réintégration. 


IPAR_OK 


La variable IPAR_OK correspond a la variable iPar_OK_S du profil de bus PROF Isafe a partir de 
la spécification PROF lsafe V1.20. Pour savoir comment évaluer cette variable lors d’un 
reparamétrage d’esclaves DP normalisés de sécurité/périphériques d’E/S normalisés, reportez- 
vous a la spécification PROF Isafe a partir de V1.20 ou a la documentation de l’esclave DP 
normalisé de sécurité ou du périphérique d’E/S normailisé. 


DIAG 


La variable DIAG met a disposition, a des fins de maintenance, une information non sécurisée 
(1 octet) sur les erreurs survenues. Vous pouvez lire cette information via des systemes de 
contréle-commande ou I’évaluer dans votre programme utilisateur standard. Les bits DIAG 
restent mémorisés jusqu’a |’acquittement de la variable ACK_REI ou jusqu’a une réintégration 
automatique. Dans le programme de sécurité, vous pouvez affecter cette variable a une variable 
standard via l’instruction MOVE. 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 6-72 


SIMATIC TIA Portal Safety Advanced 


Etat de la valeur des CPU 1200/1500F 


Etat de la valeur 


* Information complémentaire au sujet de la valeur d’un canal de périphérie F. 


* Est pris en charge par les modules ET 200SP, ET 2008S, ET 200iSP, ET 200pro, 
ET 200M et ET 200MP. 


* L’état de la valeur renseigne la validité de la valeur du canal correspondant: 
* 1: une valeur de processus valide est émise pour le canal. 


* 0: une valeur de substitution est émise pour le canal. 


° L’accés a la valeur du canal et a l’état de la valeur d’une périphérie F est 


uniquement autorisé a partir d’un seul groupe d’exécution F. 


* L’état de la valeur est consigné dans la mémoire image des entrées (MIE). 


Etat de la valeur 


L’état de la valeur est une information binaire supplémentaire sur une valeur de canal d’une 
périphérie de sécurité. Il est consigné dans la mémoire image des entrées (MIE). 


L’état de la valeur est pris en charge par les modules de sécurité S7-1500/ET 200MP, ET 200SP, 
ET 2008S, ET 200iSP, ET 200pro, S7-1200 ou F-SM S7-300, les périphériques d’E/S normalisés 
de sécurité et les esclaves DP normalisés de sécurité qui gérent le profil « RIOforFA-Safety ». 


Nous vous recommandons, pour |’état de la valeur, de compléter le nom de la valeur du canal 
avec « VS », par ex. "STOP_1_VS". 


L’état de la valeur renseigne sur la validité de la valeur du canal correspondant : 
* 1: une valeur de processus valide est émise pour le canal 
* 0:une valeur de remplacement est émise pour le canal 


L’accés a la valeur de canal et a |’état de la valeur d’une périphérie de sécurité n’est autorisé qu’a 
partir d’un mrme groupe d’exécution 
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6.24.4. Bits d’état de la valeur pour F-DI 


— 


a de rea de —— de aa de a de — Etatde | Etat de 

la valeur la valeur la valeur "_ la valeur | la valeur 

pour Dir le pour Dis pour Dla Precip pour Di: | pour Dio 
Ba 


x = adresse de début du module Jl Be24VDC HFS [FO i ; 
(centea ~—— T.comvtaones epson | Textes | 


orm type Agrese — Tetee Ge variables 
FO Envee 0 Qc<t wieo Table verables standard 
Ol Entree 1 tool wet Table verables stendard 
5 re Fl Entree 2 Beol 302 Teble verebles stecderdt 
* Les bits d’état de la valeur ron tewee 2 oct UI0.3_ Table variables standard 
. . Ol Entree « Sco! ~ao4 Table verubies standard 
suivent directement les valeurs de FOVEmvee 5 ool 30S Table variables stondend 
FOU Entree 6 Bcct wee Table varables ttencard 
canal dans la MIE. FOL tmoee deel 807 The vanables standard 
Etat Velew FOi pour entree 0 Qaol wto Table vemables steederd 
Etat veleu Ol pour entree 1 Sco! wot table vamebies standard 
Etat Veleu FO! pour entree 2 Seel wa12 Teble venebies smeederd 
frat Velew FOl pour entree 3 @col w5 Table veradles stancerd 
Cat Velour FO! peur erties 4 feel wis table vanebles standard 
Enet Valeur FO pour entree § Aco! wis Teble verebies smoderd 
Cte! Velour F-0l pour entree 6 @ccl ~wo16 Table vamables stencard 
Etat Valeur FO! pour envee 7 tee! wat? Teble verebles standard 


Etat de la valeur pour les modules d’entrée et sortie TOR 


L’état de la valeur est influencé par la détection de rupture de fil, les courts-circuits, la 
surveillance de gigue (flottement), la prolongation des impulsions et le contréle de plausibilité. 


Remarque 


Vous ne pouvez accéder qu’aux adresses occupées par les données utiles et |’état de la valeur. 
Les autres adresses utilisées par les modules F sont notamment réservées a la communication 
de sécurité entre les modules F et la CPU F conformément a PROF lsafe. En cas d’évaluation 
1002 (1de2) des capteurs, les deux canaux sont regroupés. En cas d’évaluation 1002 (1de2) des 
capteurs, vous ne devez accéder qu’au canal de poids faible dans le programme de sécurité. 
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6.24.5. Bits d’état de la valeur pour F-DQ 


Etat de = Etat de | Etat de 
gg esa _— 


x = adresse de début du module 


e Les bits d’état de la valeur 
sont reportés dans la MIE . 1 Table variables standard 
avec la méme structure que — shente mre 
les valeurs du canal dans la 
MIS Etet veleur FDO Sonie 0 Bool Table vanebles standard 
: : Etet valeur FDO Sortie 1 Bool Table venables stenderd 


Etat veleur FOO Sonie 2 Bool Table vanables standard 
Etat valeur FDO Sortie 3 Bool Table vanebles stenderd 
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6.24.6. Bits d’état de la valeur pour F-PM 


. “Type Adresse Tablede variables 
FPM Entrée 0 Bool “36.0 Table variables standerd 
4) FPMEntée 1 Bool S361 Table yerisbles stenderd 


j 
+ FrMSorieo Bool %Q36.0 Table variables standard 
j 

Etat veleur FOMEnwée 0 Bool S370 Table veriebles standerd 
Etat veleur FAM Entrée 1 Bool S371 Table verables stenderd 
J EtatveleurFPMSortieO Bool “i380 Table variables standard 


a 
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6.24.7. Bits d’état de la valeur pour F-Al 


x = adresse de début du module 
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F-DI Input 0 
F-DI Input 1 
F-DI Input 2 
F-Dt input 5 
FDI Input 4 
F-DI Input 5 


Value status F-Dt input 0 
Value status F-Dt input 1 
Value status F-Dt input 2 
Value status F-Dt input 5 
Velue status F-Dt input 4 
Value status F-Dt input 5 


Delault teg table 
Default tag tedle 
Detault tag tadle 
Default tag teble 
Default tag table 
Delault teg table 


Detault vag table 
Defoult teg table 
Default tag table 
Detault teg tebdle 
Default tag table 
Default tag table 
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6.25. Exercice 3 : Comprendre |’état de la valeur 


agresse 


Pie 


%I5.1 
&H3 
%i5.3 
*I10.0 
RES) 
%i22.0 
%123.0 
%0Q17.0 
*II7.0 
%O17.1 
%i17.1 
eo 
415.0 
44 
aIS.4 
%i22.2 
%I23.2 
%1226 
%123.6 
$122.1 
$123.1 
%122.5 
$1235 


Valeur visualisanom Valeur de forgage 


“De GFA 


On veut a présent vérifier le comportement de |’état de la valeur d’un canal d’entrée/sortie de la 


1. Copiez par glisser-déposer la table de variables « « ValueStatusFio » et la table de 
visualisation « Vérification Valeur d’état » de la bibliothéque dans votre projet 


2. Observez |’état de la valeur et le signal de process des différents canaux lorsque vous 


déclenchez différents capteurs (E1, E2, RFID, etc.) 


3. Analysez pourquoi tous les canaux sont actuellement passivés (état de la valeur = 0) 


. _“eStopr 

; "aStopivs” 

; “#Stop2" 

+ “eStop2VS" 

5 “eStop3” 

6 “eStopivs" 

; “eStops” 

a “eStop4vs" 

& “motor?” 

10 *motorlvs” 

W *motor2” 

Pi *motor2vS" 

a “autoSwitch* 

“ “autoSwaichivs” 

6 “serviceSwich” 

1% “serviceSwichyS” 

? “twoHands 1" 

18 “twoHands TVS" 

19 “twotands2° 

20 “twoHiandS2VS* 

z "sensorhtid?” 

22 "“sersochfidtvsS" 

23 “sersorhfid2” 

2 “sersorRtd2ys" 
Enoncé 

station de travail. 

Procédure 
Solution 


Explication : 
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6.26. Exercice 4 : Reintegration de la péripheérie F 


_#ex 


ooost. # mx 


* 0007? F-Detx24VDCHF_? 10890009) -~# ex 
100022 1} -Ditx24vDOWF 2 


Dota ee Convent 


é 
te 

gi 
: 


Dec 
SRR RRR RRR ERE ee 
Seo 
PRP RRR RRR RRR eee 
of 


Be 


666066 68646 


Enoncé 


L’utilisateur doit pouvoir réintégrer une périphérie F passivée a l'aide d’un bouton d’acquittement 
« reset ». 


REMARQUE : pour cet exercice, n’utilisez pas le bloc « ACK-GL » de la bibliotheque Safety. A 
titre d’illustration, l'acquittement doit rtre ici directement déclenché via les DB de périphérie. 


Procédure 


1. Programmez la réintégration directement dans le bloc « MainSafety ». Affectez le bouton 
d’acquittement « reset » a chaque entrée (ACK_REI) de la périphérie F 


2. Enregistrez votre projet et chargez les modifications dans la CPU. 
Résultat 


Testez la fonctionnalité en provoquant une erreur de canal via l’interrupteur de court-circuit. 
Apres la suppression du court-circuit, la carte doit se laisser réintégrer avec le bouton 
d‘acquittement (Reset). 


Interfaces concernées 


Standard Sécurité 


Entrées 
Global Systeme 
eee Sd BACK REI 
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6.27. Exercice 5 : Evaluation de |’état de la périphérie F 


Programme standard 


Pre/Post processing of the F-runtime group 
Exemple d’application 
ID: 109479728 
F Generate giobel FO stasus block's 


7 
i 


O72 Ff Ditlxrevoow 2 (DH Ie04 
globale 
« Safety_Lib » 


Pe ees tk 
MBean gaat qay tet aeeneeeneensareasennere 


Enoncé 


Actuellement, |’utilisateur est informé de |’état de la périphérie F par le diagnostic systéme intégré a 
’'lIHM. Le diagnostic doit a présent étre complété par un affichage avec LED : 


« Dés qu’un module de périphérie F est passivé, il faut activer les « Top-Lights » rouges 
("deviceLeds".redTopLight) du banc de formation. 


¢« Dés qu’un module de périphérie F demande une réintégration, il faut faire clignoter les « Top- 
Lights » rouges ("deviceLeds".redTopLight) (1Hz) de méme que la LED du bouton 
d’acquittement ("deviceLeds".resetLed) (1Hz) 


Remarque : Le cours se base sur la programmation du programme de sécurité. L’évaluation et le 
pilotage des LED sont déja préprogrammés et disponibles dans la bibliotheque "Safety_Bibfr". Les 
données nécessaires ne sont plus qu’a transférer. 


Procédure 


1. Afin d’évaluer l'état de l'ensemble de la périphérie F, créez un « bloc d’état global de la 
périphérie F » pour votre groupe d’exécution « Safety Administration -> F-runtime group » 


Remarque : Le bloc ne doit pas étre appelé. Il sera appelé automatiquement et traité 
ultérieurement par le bloc « StatusFio ». 


2. Programmez une fréquence de 1Hz et enregistrez la dans un bloc de données global 
"ProgrammData"clock1Hz. Utilisez le bloc « LGF_Frequency » de la bibliotheque 
« Safety_Lib->Exercice_5 » et appelez le dans le programme standard. 


3. Pour exploiter I’état de la périphérie F utilisez le bloc préprogrammé « StatusFio » de la 
bibliotheque « Safety_Libfr->Exercice_5 ». Appelez le bloc dans le programme standard 
principal « Main » et affectez les entrées a l'aide des données nécessaires (cf. vue). 
Rassembler les requétes d’acquittement (ACK_REQ) issues des DB de périphérie F. 


Enregistrez votre projet et chargez toutes les modifications dans la CPU 
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Résultat 


Testez les fonctionnalités comme demandées dans le cahier des charges. 


Interfaces concernées 


Global 


Blocs de données 
"ProgrammData".clock1 Hz 
Remarque oe 


Il faut évaluer l’ensemble des quatre blocs d’état de la périphérie F. 
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6.28. Exercice 6 : Encore un test pour comprendre |’état de la valeur 


Format d'attichege Valeur visualisation Weleurdetorcege > 


' “eSioet” &B. BOOL 
2 “eStopivS” 5,1 BOOL 
; “eStop2* S143 BOOL 
: “eStop2vS" %i5.3 BOCL 
5 “eStop3" %I10.0 BOOL 
6 “eStop3vS" Sia BOOL 
? “eStops” BI220 BOOL 
R BOOL 


“eStop4vS W230 
. 1" 


BOOL 
BOO0L 
BOOL 
BOOL 
“servkeSwich” BOOL 
“servceswaicivs” BO0L 
“twortends 1” %122.2 BOOL 
“twoktands TVS" SI23.2 BOO” 
“twokands2” 812246 BOOL 
“twwokandS2VS" - &I23.6 BOOL 
“sensor!” 122.) BOOL 
“sersorhfid1VS" = 123.1 BOOL 
“sersorhiid2” 122.5 8001 
“sensorRSd2VS" %123.5 BOCL 
Enoncé 
On veut vérifier une nouvelle fois le comportement de |’état de la valeur d’un canal de périphérie F 
(cf. exercice 3). 
Procédure 
1. Observez la réaction des variables concernées lorsque : 
* un dispositif de protection est déclenché (arrrt d’urgence, porte de protection, etc.) 
* vous actionnez le commutateur de court-circuit (« Short circuit ») sur la station de travail 
Résultat 


Tous les modules F sont a présent utilisés dans le programme de sécurité (via l’exercice 4) et 
sont dépassivés aprés le démarrage de la CPU et délivrent des valeurs de process valides. 
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6.28.1. Exercice 6 : Test du cablage des entrées et sorties de sécurité 


Oe £ lls AAD PF 
i - Nom Adresse Format d'etfichage Valeur visualisetio Veleur de forcege 
; “eStop1" 514.1 BOOL 
2 "eStop2” 4.3 BOOL 
3 “eStop3" %110.0 BOOL 
4 “eStops” %122.0 BOOL 
. “motor1” %Q17.0 BOOL a TRUE 
6 “motor2" %Q17.1 BOOL a TRUE 
7 “powerValves” %Q10.0 BOOL [a] TRUE 
3 “autoSwitch” %I4.0 BOOL a 
7 “serviceSwitch” Bh4.4 BOOL Lal | 
10 "twoHands 1" %122.2 BOOL a 
1 "twoHandS 2” %122.6 BOOL a 
12 “sensorkfid?” %122.1 BOOL 5 
13 “sensorfifid2” %122.5 BOOL 5 
14 “start” %12,0 BOOL a 
15 “reset” w12.3 BOOL 
16 “resetLed™ %Q2.7 BOOL 
17 “valvel” _ %Q3.0 BOOL FALSE 
18 "valve2” iB] %Q3.1 | BOOL FALSE 
19 ‘ E 
Enoncé 
On veut a présent vérifier le cablage de toutes les entrées et sorties de la station de travail. 
Procédure 
1. Copiez par glisser-déposer la table de visualisation « Contréle du cablage » de la 
bibliotheque dans votre projet 
2. Vérifiez le cablage des entrées en actionnant les éléments de commande correspondants sur 
la maquette de test et comparez avec les valeurs de visualisation affichées. 
3. Vérifiez le cablage des sorties de sécurité en entrant les valeurs de forgage sur la PG et en 
comparant avec les réactions des actionneurs de la maquette de formation. 
« Acquittez le message « Mode de sécurité actif » 
« Entrez ensuite votre mot de passe CPU 
¢ Confirmez que vous voulez bien désactiver le mode de sécurité 
Résultat 
Toutes les entrées et sorties de la station de travail devraient étre correctement raccordées. Dans 
le cas contraire, vérifiez le paramétrage des canaux concernés ainsi que l’affectation a la 
mémoire image. 
Attention ! 


Ne modifiez pas le cablage existant. Si vous pensez qu’il y a une erreur de ckblage, parlez- 
en au formateur. 
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6.29. Exercice 7 : programmer les modes de fonctionnement 


Programme standard 


cece reese eeneeee 


tart 


Co 


« Start » 


as utilisé pour 
wen aguindes “a Reged sesteoletl” eeeee erst reese linstant 
Deeasenseceeaiiaes 


a 
a 
‘<a 
=a 
<2 
=a 
ad 
a 
2 
wa 
<= 
‘a 
“<a 
‘eo 
Ea 


rei 
"Va ccaatesocuneesee (eee e Renee eee e ne: 


Enoncé 


La machine « Etiqueteuse » doit étre considérée comme une installation indépendante et 
autonome. Il s’agit de programmer trois parties indépendantes de l’installation disposant chacune 
de leurs modes de fonctionnement : 
Dispositif de levage : 
— Automatique 
— Arrét 
Etiqueteuse : 
-  Automatique 
- Arrét 
Transport : 
-  Automatique 
— Arrét 
Les modes de fonctionnement doivent rtre pilotés séparément via I’IHM ou simultanément via le 


poste de commande (IHM et bouton de démarrage). Le programme de sécurité devra 
ultérieurement avoir la possibilité de réinitialiser les modes de fonctionnement (safetyError). 


Procédure 


1. Copiez le bloc préprogrammé « OperationalOn » de la bibliothéque « Safety _Bibfr- 
>Exercice_7 » dans le répertoire des blocs standards et familiarisez-vous avec la 
fonctionnalité. 


2. Bloc de fonction Mode de fonctionnement (Description générale) 
Générez les modes de fonctionnement nécessaires via le bloc « OperationalOn » dans votre 
programme utilisateur standard. Enregistrez tous les modes de fonctionnement au niveau du 
bloc de données global « ProgrammData » (Cf. vue). L’entrée « safetyError » reste encore 
non affectée. 


Une description détaillée de l’exercice se trouve en page suivante. 
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6.29.1. Exercice 7 : Organigramme 


OperationalOn: FB5 (programme standard) 


1. Bloc de fonction Mode de fonctionnement (Description détaillée) 


Insérez trois nouveaux réseaux dans le programme standard « Main » pour y appeler le bloc « 
OperationalOn » avec sa propre instance pour chaque partie de l’installation. Les modes de 
fonctionnement individuels de chaque partie de l’installation sont gérés par ces appels. 

Les modes automatique (Auto) sont pilotés par les signaux suivants : 


- Bouton démarrage (« démarrage ») 

- Démarrage IHM d’une partie de installation ("ProgrammData".dataFromHmi.startXXXXX) 
- Démarrage IHM du poste de contréle ("ProgrammData".dataFromHmi.startControlRoom) 
Les modes de fonctionnement automatique sont désélectionnés par les signaux suivants : - 
Arrét partiel de l’installation IHM ("ProgrammData".dataFromHmi.stop XXXXX) 

- Arrét IHM du poste de commande ("ProgrammData".dataFromHmi.stopControlRoom) Les 
modes de fonctionnement actuels (mode) doivent étre mémorisés individuellement dans le 
bloc de données globales "ProgrammData".operating Modes. 


L’entrée « safetyError » n’est pas encore affectée. L’entrée sera affectée dans les exercices 
suivants. 


Chargez toutes les modifications dans la CPU. 


Enregistrez le projet et testez la fonctionnalité. 


Interfaces concernées 
Standard Sécurité 
"start" » 


Entrées 


Global Systeme 


Blocs de données "ProgrammData".dataFromHmi - 


"ProgrammData".operatingModes : 
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6.30. Exercice 8: Dispositif de levage 


| Programme standard 


« valvel » 
(PERSE ESEEEE ESE ESE ERE SEE SERRE EEE EEE 


< valve2 » 


Lifting 


« reset » 


Enoncé 


La partie d’installation « systeme de levage » permet d’acheminer les piéces vers |’étiqueteuse. 
Nous ne considérons ici que la fonctionnalité des vannes d’arrrt de sécurité. Les fonctions de 
descente et de montée du dispositif ne sont pas traitées dans cet exercice. 

Les vannes d’arrrt doivent rtre commutées en fonctionnement normal. En mode automatique, les 
vannes doivent rtre commutables et bloquées en cas d’arrrt. Une coupure de sécurité doit étre 
réalisée via un dispositif d’arrrt d’urgence. Le programme de sécurité doit bloquer le pilotage en 
fonctionnement normal des vannes par coupure de l’alimentation en énergie. Apres le 
déclenchement de I’arrrt d’urgence, l’alimentation en énergie ne doit rtre validée qu’aprés un 
acquittement. Le mode automatique doit rtre désactivé en cas de déclenchement de l’arrrt 
d’urgence. 


Remarque : Lors de la programmation tenez compte des principaux aspects du guide de 
programmation comme la réutilisabilité et la structure du programme. 


Procédure 


1. Le programme standard « Main » doit, aprés évaluation de l'ensemble des modes de 
fonctionnement, piloter les deux vannes « vanne1 » et « vanne2 » lorsque le dispositif de 
levage se trouve en automatique :"ProgrammData".operatingModes.operationalOnLifting . 


2. Bloc de programme « Levage » (Description générale) 


Réalisez le bloc de sécurité « Levage » et programmez la fonctionnalité demandée (Enoncé). 
Utilisez la fonction de sécurité « ESTOP1 » de la liste des instructions pour la réalisation de 
l’'arrrt d’urgence. L’acquittement de la fonction de sécurité a lieu via le bouton d’acquittement du 
banc de formation. Implémentez également le diagnostic comme décrit dans |’étape 3 et 
transférez les données aux blocs de données correspondants (Cf. vue). 


Une description de l’exercice est détaillée a la page suivante. 
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6.30.1. Exercice 8: Organigramme 


1. Bloc de fonction « Levage » (Description détaillée) 


Le bloc doit surveiller la coupure d’urgence E3 via la fonction de sécurité « ESTOP ». Dés 
que l’arrrt d’urgence E3 est appuyé (« S-E3 ») =0, l’alimentation du groupe de potentiel doit 
immédiatement étre coupée par le module de sécurité (« PowerValves » =0). 

Les modules standard DQ intégrés au méme groupe de potentiel (branché aux vannes) sont 
ainsi coupés en sécurité. 

Aprés le déverrouillage de l’arrrt d’urgence E3 (« S-E3 » =1) et l’activation de la touche 
d’acquittement (« S-Reset » =1) il faut rétablir la tension d’alimentation (« PowerValves » =1). 


Interfaces concernées 
, Standard écuri 
Entrées 
« reset » (12.3 « eStop3 » (110.0) 
; Standard Scurité 
Sorties ee 
« PowerValves » 
Global Systeme 
Blocs de données "DataFromSafety".errorLifting 
"DataFromSafety".diagLiftingFunc 


La suite a la page suivante 
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6.30.2. Exercice 8 : Diagnostic dans le programme safety 


Diagnostics standardises 
Chaque boucle de sécurité doit générer 


un diagnostic homogéne utilisable dans le 


programme utilisateur standard et I’IHM: . release Bool 


, i TTTTTTTI Tries | > Ww ® 
*Mot de diagnostic .,.cscccenrennneenreeneenen’® diag ord @ ne 


eae error Bool 
*Bit d’erreur (déclenchement ou erreur d’Un@ew****"*"*"** ~ 


fonction safety) 

Structure du mot de diagnostic: 

Fonction Safety 1 (2 bits): - cisguacenannnee 
“Bit 0: OK ooo ee 
*Bit 1: requrte d’acquittement+«+**""*"*"" asset? 
Fonction Safety 2 (2 bits): oo” ae? 
“Bit 2: OK sasessessscsccsesces aeee® ie 

*Bit 3: requrte d’acquittement++***” 


etc. 


Tee eC CPSU CUCU CEST EC UTEP eee) 
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2. Diagnostic dans le bloc « Lifting » 


Principe du diagnostic 


Afin de réduire les temps d’arrrt d’une installation a un minimum il est indispensable de disposer 
d'un diagnostic cohérent, compréhensible et clair. Une évaluation du diagnostic tout comme la 
visualisation ne représentent pas une partie principale de la sécurité du site c’est pour cette 
raison que le diagnostic est déja, pour sa grosse partie, intégrée (IHM et CPU.) 


Que faut-il encore programmer ? 


Ce qui manque encore c’est une mise en place d’un diagnostic homogéne des fonctions de 
sécurité pour le programme de sécurité. 

Afin de faire fonctionner le diagnostic et la visualisation existants, il faut que chaque partie du site 
comprenant des fonctions de sécurité actives retournent un diagnostic homogéne au programme 
utilisateur standard. 

Structure des remontées de diagnostic des parties de I’installation (blocs de fonctions du 
programme de sécurité): 


¢ Mot de diagnostic « diag » (Word) 


L’état de chaque fonction de sécurité est stocké dans le mot de diagnostic. Deux bits sont 
réservés pour chaque fonction de sécurité : 

Bit O : la fonction de sécurité est OK (1) 

Bit 1 : Requrte d’acquittement (1) Affichage 
L’ordre des fonctions de sécurité dans le mot de diagnostic est Mode: Stop 


a extraire de l'IHM. ‘ 
Bit 0,1 <@***Arrét Urgence: @ Déclenché 


Bit 2,3 +++ -porte sécurité: @ Verrouillé 
Le bit erreur est positionné dés qu’une fonction Bit 4,5 @=swawey 


¢ Bit d’erreur « error » (Bool) 


de sécurité de ce bloc est activée Feedback: @ OK 
(ESTOP1 et SFDDOR) ou remonte une erreur 
(FDBACK). Par ex. Transport :3 fonctions de sécurité 
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3. Enregistrez les données de diagnostic dans le bloc de données « DataFromSafety ». 
"DataFromSafety".errorLifting 
"DataFromSafety".diagLiftingFunc 


4. Une coupure de sécurité (« DataFromSafety ».errorLifting) doit également désactiver le mode 
automatique du module de levage. Affectez le signal de coupure (errorLifting) a l’entrée 
« SafetyError » du bloc « OperationalOn » (module de levage). 


5. Enregistrez le projet et testez la fonctionnalité 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 6-89 


SIMATIC TIA Portal Safety Advanced 


6.30.3. Fonction de sécurité ESTOP1 


“Esto 
—— ACK_NEC 
= ACK 


—TIME_DEL 


Y Static 
= ~ ESTOP1_Instance 
= ~ Input 
a E_STOP 
ACK_NEC 
ACK 
TIME_DEL 
Output 
Q 
Q_DELAY 
ACK_REQ 
DIAG 
InOut 


L 
ss epequaeesas 


BAAARAAAAAAAA 


Cette instruction réalise un arrrt/coupure d’urgence avec acquittement pour les catégories d’arrrt 


O et 1. 


Le signal de validation Q est remis a 0 dés que |’entrée E_STOP prend I’état de signal 0 
(catégorie d’arrrt 0). Le signal de validation Q_.DELAY est remis a 0 aprés écoulement du temps de 
retard paramétré a l’entrée TIME DEL (catégorie d’arrrt 1). 


Le signal de validation Q n’est remis a 1 que lorsque l’entrée E_STOP prend I’état de signal 1 et 
qu’un acquittement est réalisé. L’acquittement de validation est réalisé en fonction du 
paramétrage a l’entrée ACK_NEC: 


« si ACK_NEC = 0, l’acquittement est automatique 
*« si ACK_NEC = 1, vous devez acquitter a l'aide d’un front montant a |’entrée ACK pour valider. 


La sortie ACK_REQ signale qu’un acquittement utilisateur est nécessaire a l’entrée ACK. 
L’instruction met la sortie ACK_REQ a 1 dés que l’entrée E_STOP = 1. 


Lorsque l’acquittement a été réalisé, l’instruction remet ACK_REQ a 0. 
Attention : 


Le paramétrage de la variable ACK_NEC = 0 rest autorisé que lorsqu’un redémarrage 
automatique du processus correspondant est par ailleurs exclu. 
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6.31. Exercice 9 : Etiqueteuse 


* 
. 
s 
. 
. 
. 
. 
. 
. 


SEES Eee errr rrr eee ee "“fdbackMotor1" 


Programme standard 


Feedback M1 


Enoncé 


Procédure 


TIA-SAFETY 


Dans la partie du site « Etiqueteuse » il faut étiqueter la piece amenée. A l’instar de la partie de 
linstallation « Levage » nous ne traitons que la fonctionnalité de sécurité. 
Le moteur de |’étiqueteuse ne doit rtre piloté que lorsque les conditions suivantes sont réalisées : 


« Arrrt d’urgence (S-E4) est OK 
*« Lacommande bimanuelle est utilisée correctement (t< 300ms) 


¢« Le mode automatique est actif 


Le pilotage du moteur doit étre surveillé par les contacts de retour des relais. Aprés l’appui de 
larrrt d’urgence il ne faut libérer le pilotage du moteur qu’aprés acquittement. Le mode 
automatique de I’étiqueteuse doit rtre désactivé a la suite d’une coupure de sécurité. 


Remarque : Lors de la programmation tenez compte des principaux aspects du guide de 
programmation comme la réutilisabilité et la structure du programme. 


1. Bloc de fonction « Etiqueteuse » (description générale) 


Créez un bloc de sécurité « Etiqueteuse » et programmez la fonctionnalité demandée 
(Enoncé). Pour l’évaluation utilisez les fonctions de sécurité « ESTOP1 », « TWO_H_EN ». 
Pour le pilotage du moteur vous utilisez la fonction de sécurité « FDBACK », car les retours 
des contacts peuvent étre directement exploités (Temps de relecture =200ms). 
L’acquittement de la fonction de sécurité est réalisé avec un bouton d’acquittement sur le 
banc de formation. 

Implémentez également le diagnostic comme décrit dans l’exercice 8 (Chapitre 6.31.2) et 
transférez les données au bloc correspondant (Cf. vue). 


Une description détaillée de l’exercice se trouve a la page suivante 


- Programmation 
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6.31.1. Exercice 9: Organigramme 


1. Bloc fonction « Etiqueteuse » (Description détaillée) 


Créez un bloc de sécurité « Etiqueteuse » et appelez le bloc dans le programme de sécurité. 
Le bloc doit surveiller la libération du pilotage du moteur a l’aide des fonctions de sécurité 
«ESTOP », «TWO_H_EN » en mode de fonctionnement automatique. 

Groupez les conditions de validation et pilotez les contacteurs du moteur en utilisant la 
fonction de sécurité « FDBACK ». 


« ESTOP » : 

Dés que l’arrrt d’urgence E4 est actionné (« eStop4 » =0), la validation d’ ESTOP doit étre 
immédiatement bloquée (« ESTOP.Q » =0). Aprés le déverrouillage de l’arrrt d’urgence E4 (« 
eStop4 » =1), la validation d ESTOP doit a nouveau rtre activée («« ESTOP.Q » =1) aprés 
actionnement du bouton d’acquittement (« reset » =1). 


« TWO_H_EN » 
La validation («« TWO_H_EN. Q » = 1) ne doit intervenir que si le Bouton1 (« twoHandS1 ») et le 
Bouton2 (« twoHandS2 ») prennent la valeur 1 dans un intervalle de 300ms. 


« FDBACK » : 

Le moteur doit étre pilotable avec les conditions nécessaires réunies : 
Arrrt d’urgence OK & 

Commande bimanuelle activée & 

Mode automatique Etiqueteuse ("DataToSafety".modeLabeling) 


Le Moteur1 (« motor1 ») doit rtre commandé, via l’entrée « FDBACK.ON » =1 vous libérez la 
validation de la commande de la sortie « FDBACK.Q ». 

Connectez correctement l'ensemble des interfaces concernées de « FDBACK » (fonction 
d’aide avec « F1 »). Le temps de surveillance « FDB_TIME » doit étre réglé a 200ms. 


Suite a la page suivante 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 6-92 


SIMATIC TIA Portal Safety Advanced 


Implémentez le diagnostic a la fin du bloc comme indiqué dans l’exercice 8 (Chapitre 6.31.2). 
Enregistrez les données de diagnostic dans le bloc de données « DataFromSafety ». 
"DataFromSafety".errorLabeling 

"DataFromSafety".diagLabelingFunc 


Un arrét en sécurité ("DataFromSafety".errorLabeling) doit également supprimer le mode 
automatique de |’étiqueteuse. Reliez le signal de mise a l’arrrt (errorLabeling) avec l’entrée « 
SafetyError » du bloc « OperationalOn » (Etiqueteuse). 


Chargez l’ensemble des modifications dans la CPU 


Enregistrez votre projet et testez le fonctionnement 


Interfaces concernées 


Standard Sécurité 
« reset » » 
Entrées « fdbackMotor1 » « "twoHandS1" » 
« "twoHandS2" » 
« "motor1VS" » 
: Standard Sécurité 
Sorties 
« "motor1" » 
Global Systeme 


Blocs de « "DataToSafety".modeLabeling » 
données « "DataFromSafety".errorLabeling » 


« "DataFromSafety".diagLabelingFunc » 
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6.31.2. La fonction de sécurité : TWO_H_EN 


—EN 
— INT 
— iN2 


= ENABLE 
~~ DISCTIME 


TWO_H_EN_instance TWO_h_EN 
7 input 

int 

IN2 

ENABLE 

OISCTNE 


Q 
O1AG 


inOut 


. 
. 
. 
7 Output 
J 
. 


Cette instruction réalise une surveillance de commande bimanuelle avec validation. 


Si les boutons IN1 et IN2 sont actionnés durant le temps de discordance autorisé DISCTIME 

< 500 ms (IN1/IN2 = 1) (actionnement synchrone), le signal de validation Q passe a 1 sila 
validation est activée ENABLE = 1. Si la difference de temps entre |’actionnement du bouton IN1 
et du bouton IN2 est supérieure a DISCTIME, les boutons doivent étre relachés et de nouveau 
actionnés. 


Q est remis a 0 dés qu’un des boutons est relkché (IN1/IN 2 = 0) ou que la validation ne soit plus 
activée ENABLE = 0. Le signal de validation Q ne peut rtre a nouveau mis a 1 que si l’autre 
bouton a été relaché et que les deux boutons sont ensuite de nouveau actionnés avant 
écoulement du temps de discordance lorsque la validation ENABLE = 1. 
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6.31.3. La fonction de sécurité : FDBACK 


™ FEEDBACK 


- 
7 > 


Cette instruction réalise une surveillance de la boucle de retour. 


A cet effet, le systéme veérifie l’égalité entre l'état de signal de la sortie Q et l’état de signal inversé 
de l’entrée de lecture de retour FEEDBACK. La sortie Q est mise a 1 dés que |l’entrée ON = 1. La 
condition est que l’entrée de lecture de retour FEEDBACK = 1 et qu’aucune erreur de lecture de 
retour ne soit enregistrée. La sortie Q est remise a 0 dés que |’entrée ON = 0 ou lorsqu’une erreur 
de lecture de retour est détectée. 


Une erreur de lecture de retour ERROR = 1 est détectée lorsque |’état de signal inversé de 
entrée de lecture de retour FEEDBACK (de la sortie Q) ne suit pas l’état de signal de la sortie Q 
avant l’6coulement du temps de lecture de retour FDB_ TIME maximal toléré. L’erreur de lecture de 
retour est enregistrée. 


Si une discordance entre l’entrée de lecture de retour FEEDBACK et la sortie Q est détectée 
aprés une erreur de lecture de retour, l’erreur de lecture de retour est acquittée en fonction du 
paramétrage de ACK_NEC : 


« si ACK_NEC = 0, l’acquittement est automatique 


¢« si ACK_NEC = 1, vous devez acquitter |’erreur de lecture de retour a l’aide d’un front montant 
a entrée ACK. 


La sortie ACK_REQ = 1 signale qu’un acquittement utilisateur est nécessaire a l’entrée ACK pour 
acquitter l’erreur de lecture de retour. Une fois l’acquittement réalisé, instruction remet 
ACK_REQ a 0. 


Pour qu’aucune erreur de lecture de retour ne soit détectée lors d’une passivation de la 

périphérie de sécurité commandée par la sortie Q et qu’aucun acquittement ne soit requis, vous 
devez connecter l’entrée QBAD_FIO au signal QBAD de la périphérie de sécurité correspondante 
ou au signal QBAD_Q_xx, al’état de la valeur inversé du canal correspondant. 


Attention ! 


Le paramétrage de la variable ACK_NEC = 0 nest autorisé que si un redémarrage automatique 
du processus correspondant est exclu par ailleurs. 
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6.32. Exercice 10: Transport 


Programme standard 


+0," 
“<a> day ventportenc 


M2 


"reset" 


Enoncé 


Dans la partie Transport il faut @vacuer la piéce réalisée. Ici ne seront considérées que les 
fonctionnalités relevant de la sécurité. 
Le moteur du transport ne doit 6tre commandé que si les conditions suivantes sont satisfaites : 


* Arrrt d’urgence (E1) en fonction 

« La porte de protection est fermée 

« Le commutateur de sécurité est positionné en mode auto (Auto) 
« Le mode de fonctionnement automatique est activé. 


Il faut en outre, assurer la possibilité de commander le transport par a coup dans les phases de 
maintenance et de mise en service avec la porte de protection ouverte avec les conditions 
satisfaites suivantes : 


¢ Arrrt d’urgence (E1) en fonction 
« Le commutateur de sécurité est positionné sur 
Maintenance (Service) 


i 


La commande du moteur doit étre surveillée par les contacts de relecture des contacteurs. Aprés 
un déclenchement de l’arrrt d’urgence ou |’ouverture de la porte de sécurité, la validation du 
pilotage du moteur doit uniquement intervenir aprés acquittement. Le mode automatique du 
transport doit rtre désactivé lors d’une coupure de sécurité. 


* Le mode automatique n'est pas active (Arrét) ,e*** 3 


« Le bouton « Pas a pas » est piloté sur l'IHM 


Remarque : Lors de la programmation tenez compte des principaux aspects du guide de 
programmation comme la réutilisabilité et la structure du programme. 


Suite a la page suivante 
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6.32.1. Exercice 10 : Organigramme 


Procedure 
1. Bloc de fonction « "Transport" » (Description générale) 


Insérez le bloc fonction de sécurité « "Transport" » et programmez la fonctionnalité 
demandée (Enoncé).Utilisez pour évaluation les fonctions de sécurité «"ESTOP1" », 

« "SFDOOR" ». 

Pour la commande du moteur, utilisez la fonction de sécurité « "FDBACK" », car on peut y 
évaluer directement les contacts de relecture (Temps de relecture=200ms). 

L’acquittement de la fonction de sécurité est réalisé par le bouton d’acquittement du banc de 
formation. 

Implémentez également le diagnostic comme décrit dans l’exercice 8 (Chapitre 6.31.2) et 
transférez les données au bloc de donnée concerné (Cf. vue). 


1. Bloc de fonction « "Transport" » (description détaillée) 


Insérez le bloc de sécurité « "Transport" » et appelez le bloc dans le programme de sécurité. 
Le bloc doit surveiller la validation du pilotage du moteur avec les fonctions de sécurité 

« "ESTOP" », « "SFDOOR" », un commutateur a clé et le mode de fonctionnement activé. 
regroupez l'ensemble des conditions de validation et commandez le moteur (contacteurs) a 
l'aide de la fonction de sécurité « "FDBACK" ». 


« ESTOP » : 

Dés que l’arrrt d’urgence E1 est actionné (« ("eStop1" » = 0) la validation d’ ESTOP doit étre 
immédiatement bloquée (« ESTOP.Q » =0). Aprés le déverrouillage de l’arrrt d’urgence E1 (« 
("eStop1" » =1) la validation d’ESTOP doit a nouveau rtre débloquée (« ("ESTOP.Q" » =1) 
apres appui du du bouton d’acquittement (« ("reset" » =1). 


« SFDOOR » : 

La validation (« SFDOOR.Q » = 1) ne doit intervenir que lorsque la porte de protection est 
completement fermée (« sensorRfid1 » =1 et « sensorRfid2 » =1). La fonctionnalité 

« ouverture nécessaire pour démarrage » n’est pas nécessaire («« SEDOOR.OPEN_NEC » = 
0). Aprés la fermeture de la porte de protection, la validation ne doit intervenir qu’aprés 
l'actionnement du bouton d’acquittement (« reset » =1). 


Suite page suivante 
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« FDBACK » : 
Le moteur2 doit étre commandé dés que les conditions nécessaires pour le mode 
automatique sont remplies : 


Arrrt d’urgence OK & 

Porte de protection fermée & 

Mode automatique « Transport » ("DataToSafety".modeTransport = 1) & 
Commutateur a clé en mode Auto ("autoSwitch") 


OU mode maintenance 


Arrrt d’urgence OK & 

Arrét Transport ("DataToSafety".modeTransport =0) & 

Commutateur a clé en position Maintenance ("serviceSwitch") & 

« marche par a-coups » actif via l'IHM ("DataToSafety" jogTransport) 


Via entrée « FDBACK.ON » =1 libérez la commande de la sortie « FDBACK.Q ». 
Connectez correctement toutes les interfaces des « FDBACK » (fonction d’aide par F1). Le 
temps de surveillance « FDB_TIME » doit étre réglé a 200ms. 


Implémentez le diagnostic a la fin du bloc comme indiqué dans |’exercice 8 (Chapitre 6.31.2). 
Enregistrez les données de diagnostic dans le bloc de données « DataFromSafety ». 
"DataFromSafety".errorTransport 

"DataFromSafety".diagTransportFunc 


Un arrét en sécurité ("DataFromSafety".errorTransport) doit également supprimer le mode 
automatique du transport. Reliez le signal de mise a l’arrrt (errorTransport) avec l’entrée « 
SafetyError » du bloc « OperationalOn » (Transport). 


2. Chargez l'ensemble des modifications dans la CPU. 


3. Enregistrez votre projet et testez le fonctionnement. 


Interfaces concernées 


Standard Sécurité 


"reset" 
"fdbackMotor2" 


Entrées 


Standard Sécurité 


Sorties 


Global Systéme 


"DataToSafety".modeTransport 


Blocs de données "DataToSafety".jogTransport 


"DataFromSafety".errorTransport 


"DataFromSafety".diag TransportFunc 
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6.32.2. La fonction de sécurité : SFDOOR 


— QBAD_ itt 


— QBAD_in? 
— OPEN_NEC 
— ACK _NEC 


— ACY 


SFDOOR 


Cette instruction réalise une surveillance de la porte de protection. 


Le signal de validation Q est remis a 0 dés qu’une des deux entrées IN1 ou IN2 prend |’état de 
signal 0 (la porte de protection est ouverte). Le signal de validation ne peut étre remis a 1 que 
lorsque : 


« les deux entrées IN1 et IN2 ont pris l’état de signal 0 avant la fermeture de la porte (la porte 
de protection a été entiérement ouverte) 


* les deux entrées IN1 et IN2 prennent ensuite l’état de signal 1 (la porte de protection est 
fermée) 


* un acquittement est réalisé 

L’acquittement de validation est réalisé en fonction du paramétrage a l’entrée ACK_NEC : 

« si ACK_NEC = 0, l’acquittement est automatique 

« si ACK_NEC = 1, vous devez acquitter la validation a l'aide d’un front montant a l’entrée ACK. 


La sortie ACK_REQ = 1 signale que l’acquittement nécessite un acquittement utilisateur a 
’entrée ACK. L’instruction met ACK_REQ a 1 dés que la porte est fermée. Lorsque 
’'acquittement a été réalisé, l’instruction remet ACK_REQ a 0. 


Pour que l’instruction détecte si les entrées IN1 et IN2 sont a 0 uniquement en raison d’une 
passivation de la périphérie de sécurité correspondante, vous devez connecter les entrées 
QBAD_IN1 ou QBAD_IN2 au signal QBAD de la périphérie de sécurité correspondante ou au 
signal QBAD_|_xx/a I’état de la valeur inversé des canaux correspondants. Ceci vous permet 
entre autres d’éviter de devoir ouvrir entierement la porte de protection avant un acquittement en 
cas de passivation de la périphérie de sécurité. 


Attention ! 


Le paramétrage de la variable ACK_NEC = 0 rest autorisé que lorsqu’un redémarrage 
automatique du processus correspondant est totalement exclu par ailleurs. 
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6.33. Exercice 11 : Poste de contréle 


Programme standard 


"reset" 


Intégrer le bit d‘acquittement du 
poste de contréle dans les blocs 
de sécurité existants 


Enoncé 


Le poste de contrdle sert a surveiller l'ensemble de l’installation. Le poste de contréle doit avoir la 
possibilité d’amener l’installation dans un état sar a l'aide de l’arrrt d’urgence. Lorsque l’arrrt 
d’urgence est actionné, toutes les parties de l’installation (Dispositif de levage, Etiqueteuse et 
Transport) doivent passer en situation de sécurité. 

Apres le déclenchement de l’arrrt d’urgence, la validation ne peut intervenir qu’aprés un 
acquittement. 

L’ensemble des parties en mode automatique doivent pouvoir rtre réinitialisé par le poste de 
contréle a la suite d’un arrrt de sécurité. 


Procédure 
1. Bloc fonction « Poste de contrdle » (description générale) 


Créez le bloc de fonction de sécurité « Poste de contréle » et programmez la fonctionnalité 
requise (Enoncé). Utilisez pour évaluation de l’arrrt d’urgence la fonction de sécurité 

« ESTOP'1 » de la liste d’instructions. L’acquittement de la fonction de sécurité est réalisé par 
le bouton d’acquittement du banc de formation. Implémenter également le diagnostic comme 
décrit dans l’exercice 8 (Chapitre 6.31.2) et transférez les données dans le bloc de données 
correspondant (Cf. vue). 


La description détaillée de l’exercice se trouve a la page suivante 
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6.33.1. 


Exercice 11 : Organigramme 


Bloc de fonction « Poste de conitréle » (description détaillée) 


Le bloc doit surveiller l’arrrt d’urgence E2 («"eStop2" ») a l’aide de la fonction de sécurité 
(ESTOP1). Dés que l’arrrt d’urgence E2 est actionné (« "eStop2" » =0) il faut immédiatement 
engager l’arrrt de sécurité. 

Transférez le signal de coupure (ESTOP1.Q) a toutes les parties de l’installation. Utilisez 

pour cela les interfaces (Entrées et sorties) du bloc de fonction (cf. vue). 

Complétez les blocs « Dispositif de levage », « Etiqueteuse » et « Transport » avec cette 
nouvelle condition d’acquittement. 


Implémentez le diagnostic a la fin du bloc comme décrit dans l’exercice 8 (Chapitre 6.31.2). 
Enregistrer les données de diagnostic dans le bloc de données « DataFromSafety ». 
"DataFromSafety".errorControlRoom 

"DataFromSafety".diagControlRoomFunc 


Un arrét de sécurité ("DataFromSafety".errorControlRoom) doit également assurer la 
suppression de l'ensemble des modes automatiques. Affectez le signal de coupure 
(errorControlRoom) aux entrées « SafetyError » des blocs « OperationalOn ». 


2. Chargez toutes les modifications dans la CPU 


3. Sauvegardez le projet et testez la fonctionnalité 


Interfaces concernées 


Blocs de données 


, Standard Sécurité 
Entrées 
"reset" "eStop2" 
; Standard Sécurité 
Sorties 


Global 
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6.34. Apercu des exercices complementaires 


Les exercices complémentaires sont indépendants I’un par rapport a |’autre 
et peuvent étre réalisés suivant pertinence ou intérét. 


Exercice complémentaire 1 

* Visualisation des informations du groupe d’exécution 
Exercice complémentaire 2 

* Acquittement global de la périphérie de sécurité 
Exercice complémentaire 3 

¢ Acquittement de sécurité via l’IHM 


TIA-SAFETY - Programmation 
Document de formation V16.00.00 6-102 


SIMATIC TIA Portal Safety Advanced 


6.34.1. Exercice complémentaire 1 : Visualisation des informations du groupe 
d’exécution 


RTG1Sysinfo 


Name Date type 
+ <Q mmput 
~ 7 Output 

. MODE Bool 


* © F_SYSINFO 
5 . MODE 


Bool 
onncemagapnenssnaracesiness 


F_SYSINFO 


TIA Safety 


‘ . 
; . TCYC_LONG Dint eee 22/10/2019 15:03 
n . TRTG_CLRR Dire 


9 . TRIG_LONG Dint 


SCC RERRRE R eee e ee ee  e! 
. 


; TIRTG_CURR Dirt 
2 . TIHATG. LONG 


Feet eee en ee 
. 


F_PROG. ‘Sie 


Wor 
eee ee Rese tase eseenaeeee 


* >» FLPROG_DAT DTL 


Informations Runtime group 


Temps cycle actuel ?100ms Plus long Temps de cycle. :400ms : 


2 «ERG. SIG DWord Durée F-RUN TIME 2ms : Plus longue durée 4ms : 
Reena Reece weet ene enaeee Seen eeeeeeet See eee wewet 
= > F_RTG_DAT OTL Reeeeeecaevencevecoeseseneacaser 


F-Signature collective 28011793 
Date compilation F-programme 22/10/2019 13:02:11 
Version TIA Safety 


aoe ee RSAC se MUG cet 


mous 
Static 


STrTtTTitTiTitity 


PPP PPPS CPPCC Pee eee 


F Rumntime 


Enoncé 


Toutes les informations pertinentes au sujet du programme de sécurité doivent étre accessibles 
au niveau de I’IHM. 


Procédure 


1. Dans le projet IHM actuel se trouve la vue « 15_Info » (Cf. Image). Cette vue est appelée par 
le bouton « Groupe d’exécution F » dans le Panel. Insérez les champs de sortie individuels, 
relatifs aux liaisons correctes avec les variables du bloc de données systéme 
« RTG1Sysinfo » de la CPU. 

Remarque : Tenez compte du typage des données pour les variables du bloc de données 
systéme. Eventuellement il faudra corriger les champs de sortie de l'IHM en fonction des 
formats de visualisation et de présentation. 


2. Transférez votre projet IHM dans le Panel. 


3. Enregistrez votre projet et testez la fonctionnalité 
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6.34.2. Exercice complémentaire 2 : Acquittement global de la périphérie de 
securité 
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Enoncé 
Actuellement, l’acquittement de toutes les périphéries F du programme de sécurité est réalisé 
dans « MainSafety » par une commande directe dans chaque DB F de périphérie. Cet 
acquittement doit étre remplacé par la fonction de sécurité « ACK_GL ». 
Avantages : 
¢ Acquittement global de la périphérie F avec une fonction de sécurité certifiée 
« L’acquittement d’une périphérie F ajoutée ultérieurement sera automatiquement intégré. 
Remarque : Le bloc n’acquitte que la périphérie F. L’acquittement de fonctions de sécurité 
comme ESTOP1, SFDOOR ou FDBACK doit rtre programmé par I’utilisateur. 

Procédure 


1. Effacez la programmation actuelle des acquittements. 
2. Insérez le bloc « Reintegration » et appelez-le au niveau du programme de sécurité. 


Remarque : Le bloc « Reintegration » est déja préprogrammé pour |’exercice 


complémentaire 3. La fonction de sécurité « ACK_GL » peut aussi étre appelée directement 
dans le programme de sécurité. 


3. Programmez l’'acquittement global avec la fonction de sécurité « ACK_GL » dans le bloc 
« Reintegration ». L’acquittement est toujours réalisé avec le bouton d’acquittement « reset ». 
(Cf Vue) 


4. Transférez les modifications dans la CPU. 


5. Enregistrez votre projet et testez la fonctionnalité 
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6.34.2.1. La fonction de sécurité : ACK_GL 


23 
“ResevQuittieren” — ACK GLOB 


ACK_GL_DB 


Name Datentyp 5 Kommentar 


| <> Input 


: = . ACK_GLOB Boo! 
: Output 


inOug 


Cette instruction génére un acquittement pour la réintégration simultanée de toutes les périphéries / de tous 
les canaux de la périphérie de sécurité d’un groupe d’exécution F aprés des défauts de 
communication ou des défauts de périphérie de sécurité ou de canaux. 


Un acquittement utilisateur via un front montant a l’entrée ACK_GLOB est nécessaire pour la 
réintégration. L’acquittement s’effectue de la mrme maniére que |’acquittement utilisateur via la 
variable ACK_REI du DB de périphérie de sécurité, mais agit simultanément sur toutes les 
périphéries de sécurité du groupe d’exécution F dans lequel l’instruction est appelée. 


Lorsque vous utilisez l’instruction ACK_GL, il n’est pas nécessaire de prévoir un acquittement 
utilisateur via la variable ACK_REI du DB de périphérie de sécurité pour chaque périphérie de 
sécurité du groupe d’exécution F (F-runtime group). 
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6.34.3. Exercice supplémentaire 3 : acquittement de sécurité avec I’IHM 
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Réalisation 


TIA Safety 


Acquittement modules Safety 


NOTE 


Etape? dot étre effectuée 
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facquittement est annulé. 


Fonctionnement 
Etape 1 
Marche Install Arrét Install 
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Module Safety : 
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Actuellement, l’acquittement de la périphérie F ou de la fonction de sécurité est uniquement 
réalisée par le bouton d’acquittement « Reset » du banc de test. Comme le pilotage de 
linstallation a lieu essentiellement par I’lHM, il s’agit de programmer un acquittement avec I’IHM. 
Utilisez pour cela la fonction de sécurité « ACK_OP » afin de s’assurer que |’acquittement ne soit 
réalisé par inadvertance ou via un signal binaire simple. 


Représentation dans I’IHM 


Le poste de commande permet a I’utilisateur de réaliser avec deux boutons soit l’'acquittement de 
la périphérie F (« Acquittement Périphérie F » ou l’'acquittement des fonctions de sécurité 

(« Acquittement des fonctions Safety »). Les boutons sont uniquement opérationnels quand une 
demande d’acquittement est présente. 7 la suite de l’actionnement s’ouvre un Pop-Up qui réalise 
l'acquittement en deux étapes : 


« Etape 1: L’IHM transmet la valeur 6 (Integer) au programme de sécurité « ACK_OP » 


¢« Etape 2 : L'IHM transmet, avant l’6coulement de 60s, une deuxiéme valeur (Integer) au 
programme de sécurité « ACK_OP ». (Périphérie F = 9, Fonctions de sécurité = 23) 


Remarque : La présentation de l’'lIHM est presque entiérement réalisée. Il reste les boutons pour 
acquittement et quelques liaisons aux variables IHM a mettre en place (voir réalisation). 


Extension du programme de sécurité 


Le programme de sécurité avec la fonction « ACK_OP » doit exécuter les étapes de 
l'acquittement par l'IHM et ainsi fournir une validation de l’acquittement. Cela nécessite deux 
appels de « ACK_OP » car la périphérie F et les fonctions de sécurité nécessitent un 
acquittement séparé. Les validations des blocs « ACK_OP » réaliseront les acquittements 
respectifs. 


1. Copier les boutons pour acquittement de la bibliotheque « Exercices Optionnels-> 
Exercice_3 » aux emplacements respectifs dans la vue IHM « 14 Salle de Contrdéle » (Cf. 
Vue) 
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Suite page suivante 
6.34.3.1. Exercice complémentaire 3 : Extension du programme 
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Réalisation 


1. Intégrez deux appels de la fonction de sécurité « ACK_OP » dans le bloc « Reintegration ». 
Affectez les entrées des blocs comme indiqué dans la vue. 


Les sorties de validation ACK_OP.OUT servent maintenant d’acquittement supplémentaire 
par rapport au bouton « Reset » déja mis en place. Adaptez votre programme dans ce sens. 
Remarque : Tenez compte du fait que les deux sorties de validation ne présentent pas les 
méme fonctionnalités. II s’agit soit de l'acquittement de la périphérie F soit de celui des 
fonctions de sécurité. 


4. Transférez les sorties de validation « ACK_OP.OUT » alIHM via la variable 
« "DataOP".ackOpReleased ». Dés la présence d’une des sorties (ACK_OP.OUT) il faut 
activer « "DataOP".ackOpReleased ». 
Remarque: le transfert est nécessaire pour les vues Pop-Up dans l’IHM. 
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Remarque : le transfert est nécessaire aux vues Pop-Up de I’IHM 


6. Chargez les modifications dans la CPU et testez la fonctionnalité. 
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6.34.3.2. La fonction de sécurité : ACK_OP 
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Cette instruction permet d’effectuer un acquittement de sécurité a partir d’un systeme de contréle- 
commande. 


Il est possible par ex. de commander la réintégration de la périphérie de sécurité a partir du 
systeme de contréle-commande. Un acquittement comprend deux étapes : 


« Passage de la variable « IN » a la valeur 6 pendant exactement un cycle 


« Passage de la variable « IN » a la valeur présente a l’entrée ACK_ID avant l’6coulement d’un 
intervalle d’une minute 


L’instruction détermine si, une fois que l’entrée/sortie IN a pris la valeur 6, elle reprend la valeur 
présente a l’entrée ACK_ID aprés 1 seconde au plus tét et 1 minute au plus tard. La sortie OUT 
(sortie d’acquittement) est ensuite mise a 1 durant un cycle. 


Si vous entrez une valeur invalide ou si l’entrée/sortie IN ne prend pas la valeur présente a 
entrée ACK_ID durant un intervalle d’une minute ou avant écoulement d’une seconde, alors le 
parametre in/out « IN » sera réinitialisée a 0 et les deux étapes précédentes devront étre 
renouvelées. La sortie Q est mise a 1 pendant l’intervalle dans lequel doit s’effectuer le passage 
de 6 ala valeur présente a l’entrée ACK_ID. Sinon, Q a la valeur 0. 
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6.35. Informations complémentaires 
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6.35.1. Liens 


Géneralités 

Siemens Industry Online Support (SIOS) 

Programming Guidelines and Programming Styleguide (ID:81318674) 

An Overview of the Most Important Documents and Links - Safety (ID: 90939626) 


FAQ 


Which modules can be operated in the load group of the power module F-PM-E PPM of the ET 200SP? (ID:83203124) 

How do you assign PROFIsafe addresses so that they are unique network-wide and CPU-wide? (ID:109740240) 

What should you watch out for when selecting the operating mode in conjunction with functional safety? (ID:89260861) How do you 
incorporate fail-safe, inductive, clocked switches in STEP 7 Safety? (ID:109736836) 


Exemples d’application 

Configuration Control with SIMATIC S7 (ID:29430270) 

SIMATIC S7-1500 Profiling (ID:29430270) 

Failsafe library LDrvSafe to control the Safety Integrated functions of the SINAMICS drive family (ID:109485794) 
SINAMICS S: S110/S120 Safety Acceptance Test (ID:52248627) 

Safety position, standstill, direction and speed detection (ID:49221879) 

Library of general functions (LGF) for SIMATIC STEP 7 (TIA Portal) and SIMATIC S7-1200 / S7-1500 (ID: 109479728) Guide 
to Standardization (ID: 109756737) 
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6.35.2. Structure et traitement du programme de sécurité (800F/400F) 


FFB | FAC 
Man. Satay Sock 


Pour une CPU S7-300/400F, le bloc 


principal de sécurité est appelé a 


partir de n’importe quel bloc du 

programme utilisateur standard. 

Nous recommandons l’appel a part 
d’un OB 3x. 
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6.35.3. Groupe séquentiel (300F/400F) 


Add new F-runtime group for PLC_2 
Name 


|F-runtime group 1 


Fail-safe organization block Main safety block 


Name | Cyclic interrupt_F Name [Main_Safety 


Event class [at Cyclic interrupt ! Type |S Funktion 


Number [32 Number |7 


® Manual ® Manuell 


© Automatic O Automatisch 


Description 


An F-runtime group consists of an F-OB (cycle OB or cyclic interrupt OB) that calls a main safety block (FB or FC). 
Additional user-specific safety functions must then be called from this main safety block. More... 


[4] Add new and open (—ox—} | Cancel | 
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6.35.4. F_GLOBDB (300F/400F) 
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Le DB global F est un bloc de données de sécurité qui contient toutes les données globales du 
programme de sécurité ainsi que des informations supplémentaires nécessaires au systeme F. 
Le DB global F est inséré automatiquement lors de la compilation de la configuration matérielle. 


Via son nom symbolique F_GLOBDB, vous pouvez évaluer certaines données du programme de 
sécurité dans le programme utilisateur standard. 


Vous pouvez, au sein du programme utilisateur standard ou sur un systéme de contréle- 
commande, lire dans le DB global F : 


* le mode de fonctionnement mode de sécurité/mode de sécurité désactivé (variable 
« MODE ») 


¢ information d’erreur « Erreur lors du traitement du programme de sécurité » (variable 
« ERROR ») 


¢ la signature globale F (variable « F_PROG_SIG ») 


« la date de compilation du programme de sécurité (variable « F_PROG_DAT », type de 
donnée DATE_AND_TIME) 


La lecture de ces variables s’effectue par accés entiérement qualifié (par ex. « "F_GLOBDB". 
MODE »). 
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6.35.5. Variables du DB de périphérie (300F/400F) 
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QBAD_|_xx et QBAD_O_ xx signalent la validité de la valeur de chaque canal et correspondent 
ainsi a l'état de la valeur inversé sur S7-1200/1500. Sur les esclaves DP de sécurité normalisés 
et les périphériques d’E/S de sécurité normalisés sans profil « RIOforFA-Safety », l'état de la 
valeur ou QBAD_|_xx et QBAD_O_xx ne sont pas disponibles. 
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6.35.6. DB de périphérie de sécurité / Differences lors de |’évaluation (1) 


Différences lors de |’évaluation dans S7-1500F et S7-300F/400F 


Variables dans le DB de 
périphérie F ou état de la 
valeur dans MIE 


Périphérie F avec CPU F | Périphérie F avec CPU F 
$7-1500 $7-300/400 


ACK_NEC 
QBAD 
PASS_OUT 


QBAD_I_xx* 


QBAD_O_xx* 


Etat de la valeur 
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6.35.7. DB de périphérie de sécurité / Differences lors de |’évaluation (2) 


Différences lors de |’évaluation dans S7-1500F et S7-300F/400F 


Etat de la valeur Q_BAD 


Scénario (S7-1500F) (S7-300F/400F) 


Valeur valides sur la périphérie de 


Erreur de canal disparue (ACK_REQ) 


sécurité as_d’erreu 


Acquittement de l’erreur (ACK_REl) 
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Communication pour applications de sécurité 


1 l'issue de la formation, le participant au stage ... 
aura une vue d'ensemble des différentes possibilités de 
communication via les reseaux PROFIBUS et PROFINET 


pourra expliquer comment fonctionne la communication entre 
deux CPU a travers un coupleur. 


saura configurer et programmer une communication a travers un 
Contréleur et un I-Device 


sera familiaris6é avec la communication flexible F-Link 
sera capable d’expliquer comment fonctionne la communication entre 


des systemes de sécurité Safety Advanced et Distributed Safety et 
saura configurer une liaison. 


7-2 
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7.1. Présentation de la communication sécurisée via PROFIBUS DP 


Maitre DP Coupleur DP/DP 


Maitre DP 


PROFIBUS- 
Sous réseau 1 


PROFIBUS- 
Sous réseau 2 


Esclave | 


Esclave | 


(1) Communication sécurisée maitre-maitre 
(2) Communication sécurisée maitre-esclave intelligent 


Communication pour applications de sécurité 


PROF Ilsafe est un protocole de communication sécurisé pour réseaux PROFIBUS ou 
PROFINET. 


PROFIsafe est le premier protocole de communication conforme a la norme de sécurité 

CEI 61508 qui permet d’échanger des données standard et des données de sécurité sur une 
seule et méme ligne de bus. La combinaison de la communication standard et de la 
communication sécurisée sur un mrme réseau représente un potentiel d’économies substantiel, 
que ce soit pour le ckblage comme pour I’installation et la configuration des différents 
composants du réseau, et facilite grandement la mise a niveau et l’extension des installations 
existantes. 


PROFIsafe est une solution ouverte non-propriétaire pour bus de terrain standard développée par la 
communauté des constructeurs d’équipements d’automatisme industriel et des utilisateurs du bus 
de terrain PROFIBUS, rassemblés au sein de l'association professionnelle PNO. 


PROF lsafe sécurise la communication sur les bus ouverts PROFIBUS et PROFINET a partir de 
composants réseau standard. Combiné au réseau PROFINET, il assure également la 
communication sécurisée sans fil via |WLAN. 


Présentation de la communication sécurisée via PROFIBUS DP 


L’illustration ci-dessus présente de maniére schématique les possibilités de communication 
sécurisée sur un réseau PROFIBUS DP (périphérie décentralisée) pour systemes F 

SIMATIC Safety dotés de CPU de sécurité S7-1500. Dans une communication sécurisée entre 2 
CPU, un volume fixe de données de type BOOL ou INT est échangé entre les programmes de 
sécurité exécutés sur les CPU F des stations maitres DP. La transmission s’effectue via 
linstruction d’émission SENDDP et l’instruction de réception RCVDP. Les données sont stockées 
dans des zones de transfert configurées sur chacun des appareils en réseau. Un identifiant 
matériel (ID matériel) est associé a chacune de ces zones de transfert. 
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7.2. Présentation de la communication sécurisée via PROFINET IO 


| 
tO-Controller Coupleur PN/PN Esclave | 


je 
@ @ 


1E/PB-Link 


@ 


10-Controller 


@ 


PROFINET IO 1 PROFINET 102 PROFIBUSSOus réseaut 


1-Device 


Communication sécurisée contréleur |O - contréleurlO. 
Communication sécurisée contréleur |O - périphérique intelligent 
Communication sécurisée contrdleur IO - esclave intelligent 


Communication sécurisée entre CPU via PROFINET IO 


Dans une communication sécurisée CPU-CPU, un volume fixe de données de type BOOL ou INT 
est échangé entre les programmes de sécurité exécutés sur les CPU F des contrdéleurs IO et des 
périphériques intelligents décentralisés (l-Device). La transmission s’effectue a l'aide de 
l'instruction d’émission SENDDP et de l’instruction de réception RCVDP. Les données sont 
stockées dans des zones de transfert configurées sur les appareils. Un identifiant matériel (ID 
matériel) est associé a ces zones de transfert. 
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73: Communication sécurisée CPU-CPU a l'aide d’un coupleur 


7.3.1. Blocs de communication SENDDP et RCVDP 


4 


Je sécurité 


___ [coll 


SENDDP 


cammunication sécurisée 


coupleur-PN/PN 


SENDDP appelé a la fin du 


programme de sécurité. 


PROFINET IO 


Configuration de zones de transfert 


Des zones de transfert destinées aux données d’entrée et de sortie doivent rtre configurées dans 
le coupleur PN/PN. Ces zones sont affectées a l’aide de l’identifiant matériel attribué 
automatiquement aux modules et aux appareils. Il faut donc connaitre l’identifiant matériel pour 
pouvoir programmer les blocs SENDDP et RCVDP (paramétre LAADR). Pour chaque identifiant 
matériel associé a une zone de transfert, une constante systéme est créée dans la CPU F 
correspondante. Ces constantes peuvent étre affectées aux blocs SENDDP et RCVDP selon un 
mode d’adressage absolu ou symbolique. 


Communication a l'aide des instructions SENDDP et RCVDP 


La communication sécurisée entre les CPU F des contréleurs IO est assurée par l’instruction 


d’émission SENDDP et l’instruction de réception RCVDP. Ces instructions permettent d’échanger 
un volume fixe de données sécurisées de type BOOL ou INT (onglet « Instruction » ala rubrique « 


Communication »). 


Remarque 


L’instruction RCVDP doit étre appelée au début du bloc de sécurité principal (Main Safety). 
L’instruction SENDDP doit rtre appelée a la fin du bloc de sécurité principal (Main Safety). Il est a 
noter que les signaux d’émission ne sont envoyés qu’apreés |l’appel de l’instruction SENDDP, a la 
fin du traitement du groupe d’exécution de la séquence du programme de sécurité (F-runtime 


group). 
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7.3.2. Configuration matérielle du coupleur PN/PN 


Projet B 


; 


ae £ 
1700 Comat oO 


Un projet 


eneer 
avittnem 


Remarque 
Dans l’éditeur « Appareils et reseaux », désactivez le paramétre d’affichage de validité des 
données DIA dans les propriétés du coupleur PN/PN. II s’agit de la configuration par défaut. Si ce 
parametre n’est pas désactivé, aucun transfert de données sécurisé ne peut rtre assuré entre des 
contréleurs IO. 


Projets distincts 


Lorsque les contréleurs |O qui sont couplés sont programmés dans des projets distincts, il faut 
insérer le coupleur PN/PN dans les deux projets. Dans les projets il faut affecter l’interface PN 
respective X1 ou X2 au contréleur IO. L’interface Pn du partenaire de communication n’est pas a 
relier ou a affecter. 


Projet unique 


Lorsque les contréleurs IO qui seront reliés sont programmés dans un projet commun, il faut 
programmer le coupleur PN/PN une seule fois. Les interfaces PN X1 ou X2 sont directement 
affectés aux contréleurs IO respectifs. Cela fonctionne au mieux avec la fonction Glisser-Déposer 
d’interface en interface. 
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7.3.3. Zones de transfert PN/PN 


| Général | Variable 10 | 
» Genera! 

» interface PROFINET [x1] 

> intertace PROFINET [x2] 

= Parametres Ges modules 


Shared Device ™ 4 
‘a 
Mappage des données 90 entre Mimertace PROFIT KT et x2 


Trviviiiiiiiti Prriiitviiiisitiiiiiit: PrTtitititit) teesees Prriiiiiiii ee 
+4 PoRARE MEDORA 
S dane oe setter tepucerme pee bomgees Lomgeme 0 serene ~ ee aa 
3 —— ae | rer ‘ ayer) bows) Oya) « teen) 
: ator wre aon & bows 1* oye) 2 Rete) 
i 
Seereccccccsceseereresssseseeees ee eceeeseceeseseeess oeeeereeececeereresesessesesees 
Aupeage des dorntes 10 ene Pintertace PROFIMET X61 X2 GB) 
eeeenceccceererevecsesusuecececeusessssececerssseudeeceussssssssereeeeesty 
: 
mor tene PONT [e) : onortee PEDVEE? ji] | 
neces  Bepecere. Tyee yes ee De Spe Dane or renter hae ’ — —T ome: steed fn 4 
: 
wher ee ner . hee! 0 te et ee we 2 Bytom) ¢ Syma) bo x W 
wre C ves wou a. ae) Bie sume crn 2 nent &tyen) 12 tye: Oe Distt 
Seeeeeeenes eee eee eee eens eeeeeneneee Pre rIrCrCC iit ir iti) ca 
TIA-SAFETY 


SITRAIN © Siemens SAS 2020 
Page 7 


Communication SAFETY 
Mapping du transfert PROF Isafe 


Pour échanger des données avec le coupleur avec PROF Isafe il faut impérativement créer un 
module de transfert du type « IN/OUT ». La quantité de données est fonction du sens de la 
communication : 


EMISSION : 6 octets IN et 12 octets OUT 
RECEPTION : 12 octets IN et 6 octets OUT 


Projets distincts 


Les deux projets doivent disposer des zones de transfert. Les réglages suivants doivent 
correspondre : Slot, Type, Longueur | et longueur Q. 

Les adresses | et Q peuvent étre choisies librement sur chaque CPU. 

Les noms des zones de transfert devraient rtre retenus tout de suite, mais cela n’est pas 
indispensable. 


Projet commun 


Les zones de transfert sont programmées en central dans le coupleur. Les réglages des 
interfaces PN, X1 et X2 sont directement réalisés au niveau du coupleur. Remarque : 


« Affectez des noms univoques aux zones de transfert, afin de garantir la lisibilité. 


« Loctet d’état des données relatif a la validité des données échangées n'est pas pris en 
compte car les mécanismes de la communication de sécurité assurent l’intégrité des données 
utiles. Si octet d’état est malgré cela employé alors la version des blocs SENDDP/RCVDP doit 
étre V3.0 ou plus récent. 


« llest recommandé de ne pas utiliser les modules concernés pour d’autres applications. 


« Désactivez le paraméetre de « validité des données DIA » au niveau des propriétés du 
coupleur PN/PN. Il s’agit de la configuration par défaut. Si ce paramétre n’est pas désactivé 
aucune communication de sécurité n’a lieu entre les contréleurs IO. 
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7.3.4. Présentation des blocs SENDDP et RCVDP 


» Echange sécurisé de données entre deux programmes de sécurité via un 
coupleur d'E/S (PROFIBUS + PROFINET) 


* Transmission des données assurée par les instructions SENDDP et RCVDP 


* Transmission cohérente d'un volume fixe de données 
° 16 valeurs BOOL 
° 2 valeurs INT/1 valeur DINT 
° Parameétres F 
* Paramétres F (acquittement) 


* Stockage des données dans des plages d'adressage configurées 
> Emetteur : 12 octets en sortie 6 octets en entrée 
° Récepteur : 12 octets en entrée 6 octets en sortie 


Coupleurs DP/DP et PN/PN 
Dans une communication entre deux stations maitres DP ou entre deux contréleurs IO, via un 
module de couplage DP/DP ou PN/PN, le volume fixe de données utiles échangées est de 
6 octets. Lors de la configuration des modules dits « universels » intégrés aux coupleurs, vous 
devez également tenir compte des octets d’entrée et de sortie nécessaires pour la 
communication sécurisée via le profil PROF Isafe. 
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7.3.5. | Parametres pour SENDDP et RCVDP 


-RCVDP confirme automatiquement la réception 
des données émises par SENDDP. 


error — 

SUBS_Of = 

EN ALY_PEO = 
SD_86_06 SEMDMODE = 
SD_BO_O! Ach Nel FD_00_00— 

5p 80 62 sme0e— f0_80_01 = 

— 50.80.60 ; {ee — SUBBO_O f0_80_02— 
$0.80 04 — SUBBO_o2 *D_B0_03— 
= 6080.6 s — Subpo_os P0_10_4— 
beater SUBBO_O4 #D_50_05— 
50_B0_06 —subto_os #0_£0_06)~ 
50_60_07 —1SUBBG_06 20_80_07— 
$0_80_08 — Subbo_et *D_D0_08 — 
5D_B0_09 — SUBBO_68 1D_BO_09 = 
-— SD_B0_10 — SUBDO_o® #D_90_10— 
{SD_BO_1t —SUBBO_10 #8011 
sp 80.12 — Subnet! *D_HO_12— 
agree — SUBEO_!2 PD_80_13— 
stitesisigere —suspo_13 0014 — 
+SD_BO_14 — SUBBO_t4 *D_p0_1Ss— 
30_80_15 EPPOR —suB8o_1s PD_100}— 
SB_I_00 SUBS_ON — 1 SUBI_OO POO |- 
SD_IL01 RET_OPPO —{ SUBI_OT FET_DPRD 
DP_OFLIO PET_DPwh — OF DFID PET_DPwh 

| TMEOUT DKG —{ TIMEOUT Dee) 
—|Lan0n ENO —{MebOr EHO 


SENDDP et RCVDP 


Les données a émettre sont appliquées aux paramétres SD_... dans le bloc SENDDP. Les 
données recues sont appliquées aux parameétres RD_... dans le bloc RCVDP. Les valeurs de 
remplacement générées en cas d’erreur sont appliquées aux paramétres SUB _... 


Paramétres d’entrée : 


ACK_REI BOOL 1 = acquittement pour la réintégration des données émises aprés une 
erreur de communication 


SUBBO_xx BOOL valeur de remplacement pour les données regues BOOL xx (RCVDP 


seulement) 

SUBI_xx BOOL valeur de remplacement pour les données regues INT xx (RCVDP 
seulement) 

SD_BO_xx BOOL données émises BOOL xx (SENDDP seulement) 

SD_I_xx INT données émises INT xx (SENDDP seulement) 

DP_DP_ID INT identifiant univoque (au choix) dans le réseau pour un binéme 
SENDDP/RCVDP 

TIMEOUT TIME temps de surveillance en ms pour la communication sécurisée 

LADDR INT adresse de l’identifiant matériel (définie dans la configuration de l'appareil) 


Paramétres de sortie : 


ERROR BOOL 1 = erreur de communication 

SUBS_ON BOOL SENDDP : 1 = le récepteur émet des valeurs de remplacement, 
RCVDP : 1 = des valeurs de remplacement sont émises 

ACK_REQ BOOL 1 = acquittement requis pour la réintégration des données regues 
(RCVDP seulement) 

SENDMODE  BOOL 1 =CPUF émettrice en mode de sécurité désactivé 

RD_BO_xx BOOL données regues BOOL xx 

RD_|_xx INT données regues INT xx 

RET_DPRD WORD code d’erreur 

RET_DPWR WORD code d’erreur 

DIAG BYTE données de diagnostic 
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7.3.6. | Adressage de SENDDP et de RCVDP a l'aide d’un ID univoque 


Paramétre DP_DP_ID 


Affectez aux entrées DP_DP_ID une valeur d’adressage pour établir la communication entre 
linstruction SENDDP d’une CPU F et l’instruction RCVDP d’une autre CPU F. Le paramétre 
DP_DP_ID doit avoir la méme valeur sur les deux instructions concernées. 


Remarque 


Les valeurs d’adressage (entrée DP_DP_ID, type de données INT) peuvent rtre définies 

librement. Toutefois, la valeur d’adressage doit rtre univoque a |’échelle du réseau pour toutes les 
liaisons de communication sécurisée. Le caractére univoque de ces valeurs doit étre vérifié lors de 
la reception du programme de sécurité a partir de impression du programme de sécurité. Des 
valeurs constantes doivent étre attribuées aux entrées DP_DP_ID et LADDR a l’appel de 
l'instruction. Le programme de sécurité interdit tout accés direct en lecture ou en écriture aux blocs 
de données d’instance correspondants. 
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7.3.7. 
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Paramétre LADDR en adressage absolu ou symbolique 


Parametre LADDR adressage absolu ou adressage symbolique 
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Les zones de transfert sont affectées a l’aide de l’identifiant matériel attribué automatiquement 
aux modules et aux appareils. || faut donc connaitre lidentifiant matériel pour pouvoir 
programmer les blocs SENDDP et RCVDP (paramétre LAADR). Pour chaque identifiant matériel 
associé a une zone de transfert, une constante systéme est créée dans la CPU F 
correspondante. Ces constantes peuvent étre affectées aux blocs SENDDP et RCVDP selon un 


mode d’adressage absolu ou symbolique. 


Remarque 


Si le volume de données a transmetire est supérieur a la capacité disponible sur le binédme 
d’instructions SENDDP/RCVDP, vous pouvez renouveler l’appel des instructions une seconde 
fois (voire méme une troisiéme fois). Dans ce cas, configurez une autre liaison de communication 
via le coupleur PN/PN. En fonction de la limite de capacité du coupleur, cette connexion pourra 
étre établie avec un seul et méme coupleur PN/PN. 
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7.4. PROFINET I-Device 


La fonctionnalité « I-Device » (Périphérique IO intelligent) permet a une CPU 
d’échanger des données avec un contréleur IO via PROFINET. 


10-Controlier 10-Controfter 


* Un contréleur IO peut rtre utilisé comme périphérique 
lO 

¢ Intégration de contréleurs tiers (GSD) 

* Pas de coupleur PN/PN 


¢ Pas d'utilisation de ressources de communication 


10-Device/ 
10-Controlier 
(Device) 


10-Device 


'0-Device/ 
10-Controller (|-Oevice) 


10-Device/ 
10-Controller 
(-Device) 


10-Device 


Propriétés des |-Devices 


« Découplage de projets STEP 7 
Le concepteur et l'utilisateur d’un périphérique intelligent peuvent avoir des projets STEP 7 
complétement distincts. Le fichier de description des appareils (GSD) fait le lien entre ces 
projets. Le couplage a des contréleurs IO standard est ainsi assuré a travers une interface 
standardisée. 


* Communication en temps réel 
Le périphérique intelligent est rattaché a un réseau PROFINET IO déterministe via une 
interface PROFINET IO. Il prend donc en charge la transmission de données en temps réel 
(RT) et en temps réel isochrone (IRT). 


Avantages du I-Device 
¢ Simplicité de couplage des contréleurs IO, sans recours a des outils logiciels supplémentaires 
* Communication en temps réel entre les CPU SIMATIC et avec les contrdéleurs |O standard 


« Réduction de la puissance de calcul requise pour chaque CPU, et notamment pour le 
contréleur IO, grace a la répartition de la charge de calcul sur plusieurs I-Device 


« Réduction de la charge de communication grace au traitement sur site des données de 
process 


¢ Meilleure visibilité grace a la segmentation du traitement des taches dans des projets STEP 7 
distincts 
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7.5. Communication sécurisée | Device - périphérique intelligent 


7.5.1. Blocs de communication SENDDP et RCVDP 


e sécurité 


= 


SENDDP 


| 


coupleur PN/PN PROFINET IO 


Périphérique intelligent (I-Device) 


Au sein d’une solution d’automatisation classique avec plusieurs automates en réseau, la 

fonction |-Device permet d’utiliser une CPU aussi bien comme contrdleur |O que comme 
périphérique lO. Elle peut ainsi communiquer non seulement avec un réseau subordonné, mais 
aussi avec des contréleurs IO de niveau supérieur ou des périphéries centralisées, via 
PROFINET. Ces échanges de données se font simultanément, sur le méme bus. La topologie du 
systéme est plus légére et plus flexible. Il est ainsi plus facile d’interconnecter des automates issus 
de projets différents, ou encore d’intégrer des automates Siemens et des automates tiers dans un 
méme réseau de communication. 
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7.5.1. Configuration du mode de fonctionnement, affectation et définition des 
zones de transfert pour I-Device 
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Communication de sécurité contrdleur IO - |-Device 


La communication sécurisée entre un contrdéleur IO et un ou plusieurs |-Devices est assurée par 
une liaison entre les programmes de sécurité des CPU F concernées, comme dans une 
communication classique via PROFINET IO a l’aide de liaisons |O-Contréleur -l-Device (F-CD). 
Aucune composante matérielle supplémentaire n’est nécessaire. 


Mode de fonctionnement et affectation d’un périphérique intelligent a un contrdéleur lO 


Dans les propriétés du contréleur, cochez l’option IO Device, puis affectez-lui un contréleur IO. 
Configuration des zones de transfert 


Pour chaque connexion de communication sécurisée entre deux CPU F, vous devez configurer 
des zones de transfert dans |’éditeur « Appareils et reseaux ». Lorsqu’une zone de transfert est 
créée, un code permettant d’identifier la liaison de communication correspondante lui est attribué. 
Par exemple, « F-CD_PLC_2-PLC_1_1 » indique une connexion F-CD établie entre l'lO 
contréleur CPU 1 et le l-DeviceF-CPU2. D’autre part, des constantes systeme portant le nom de 
la zone sont créées dans la CPU F du contrdleur IO et dans celle | Device. Ces constantes 
systéme contiennent l’identifiant matériel de la zone de transfert propre a chaque CPU F. Enfin, 
pour chaque liaison F-CD, une liaison destinée a l’envoi d’un accusé de réception est créée 
automatiquement. 
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7.5.2. _ SENDDP, RCVDP et parametre LADDR 


Zones de transfert 
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Parametre LADDR 


Affectez les identifiants matériels (constantes systeme répertoriées dans les tables de variables 
standard) des zones de transfert dans les programmes de sécurité au paramétre LADDR des 
instructions SENDDP et RCVDP, selon un mode d’adressage symbolique. 


Communication a l'aide des instructions SENDDP et RCVDP 


La communication sécurisée entre |'1O Controleur et le IDevice est également assurée par 
linstruction d’émission SENDDP et l’instruction de réception RCVDP. Ces instructions permettent 
d’échanger un volume fixe de données sécurisées de type BOOL ou INT. Vous trouvez ces 
instructions au niveau de la barre des taches « Instruction », rubrique « Communication »). 


Remarque 


Si le volume de données a transmettre est supérieur a la capacité disponible pour le binéme 
d’instructions SENDDP/RCVDP, vous pouvez recourir a des instructions SENDDP/RCVDP 
supplémentaires. Pour cela, configurez d’autres zones de transfert. Lorsque les données sont 
transmises entre un périphérique | et un contrdleur IO, la limite maximale a respecter est de 

1 440 octets en entrée et 1 440 octets en sortie. Cette limite prend en compte toutes les 
connexions de communication standard et sécurisées qui ont été configurées (zones de transfert 
de type CD et F-CD). De plus, une partie de ce volume est utilisé a des fins internes, de sorte 
que la limite maximale peut étre atteinte rapidement. Si elle est dépassée, un message d’erreur 
est émis. 
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7.6. Communication sécurisée avec les systemes de sécurité 
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Communication sécurisée avec les systemes de sécurité S7 


La communication entre les CPU de sécurité dans SIMATIC Safety et les CPU de sécurité dans 
les systemes S7 Distributed Safety peut rtre assurée a l’aide d’un coupleur PN/PN ou DP/DP. 
Elle peut donc prendre la forme d’une communication contréleur |O - contréleur IO ou maitre- 
maitre. 


Communication avec S7 Distributed Safety 


La communication utilise les instructions SENDDP et RCVDP dans STEP 7 Safety Advanced V1x et 
les blocs d’application de sécurité SENDDP et RCVDP dans S7 Distributed Safety. 
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7.6.1. SENDDP, RCVDP et parametre LADDR 
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SENDDP, RCVDP et parametre LADDR 


Pour programmer une CPU S7-300 ou S7-400 F, utilisez les adresses de début des zones de 
transfert. Pour programmer une CPU S7-1500 F, utilisez les identifiants matériels des zones de 
transfert. 
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7.7. Flexible F-Link : principe de communication 


SITE 1 SITE 2 
communication OUC/S7 
PROFINET (Sous réseau 1) PROFINET (Sous réseau 2) 


Programme Programme Programme Safety 
Standard Standard 
USEND Bibliotheque 
TSEND 
Communi | F-UDT 


cation 
F-DB | 


Réception des 
~ données utilisateur: 


Généralités 
Pour les CPUs S7-1200/1500 F vous disposez d’une nouvelle communication CPU-CPU 
« Flexible F-Link ». Les données de sécurité peuvent ainsi étre échangées entre des CPU F a 
l'aide de UDT F al’aide de mécanisme de communication standard. 
Avantage 
* Compactage des données de sécurité a transmettre sous forme de type de données API F 
« Jusqu’a 100 octets de données de sécurité 
¢ Supporte les types de données de sécurité 
¢« Paramétrage simple et génération automatique de DB de communication de sécurité 


¢ Transfert de données de sécurité a l'aide blocs de communication standard mrme au-dela 
des limites du réseau 


« Communication entre groupe d’exécution F pour CPU S7-1200/1500 F 


« UUID (Identifiant Universel Unique) de Communication F : univoque, intégrée au systeme et 
universelle 


¢ Signature individuelle des adresses de communication F pour la reconnaissance simple des 
modifications des UUID pour communications F 


Conditions 
* $7-1200 F-CPUs a partir de Firmware V4.2 
¢ $7-1500 F-CPUs a partir de Firmware V2.0 


* Version systéme safety V2.2 ou supérieure 


TIA SAFETY - Communication de sécurité 
7-18 Document de formation V16.00.00 


SIMATIC TIA Portal Safety Advanced 


7.8. Exercice 1 : arrrt d’urgence groupé via un coupleur PN/PN 


contréle 


Enoncé 
Actuellement chaque station travaille séparément sans liaison aux autres stations. 
Il faut maintenant réaliser une communication stre entre 2 stations. La communication doit étre 
réalisée via un coupleur PN/PN. II doit étre maintenant possible de désactiver la station 
partenaire via un arrrt d’urgence et inversement. 

Préparation 


utilisées. 
La station / groupe, qui 
étapes marquées par. 


1. Choisissez avec votre groupe partenaire le coupleur utilisé ainsi que les interfaces X1 ou X2 
a interface du coupleur X1 (gauche), travaille par la suite les 


Par analogie, la station/ qui utilise l’interface coupleur X2 (droite) travaille avec les 
étapes marquées par. 


2. Connectez votre station et le coupleur via PROFINET. 


Suite page suivante 
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Exercice 1: Configuration et mise en réseau du coupleur PN-PN 
||? Vue topolagique la Vue du réseau [BY Vue des appareils Options 
F¥ Miseenréseeu Ef Listsons | 8’ & 
ee ¥ | Catalogue 
J tteeeeseresessesesoosososeres Rechercher» 
$7-1513F : PNPN : Filtre Profil: | <Tous> 
CPU 1513F-... : PNIPN Coupler : ‘ » [im Contréteurs 
: Non affectées 4 od 
: Se, Systemes rm 
—% » (@ Entrainements & départs-moteur 
8) Ke ~ [ig Composant de réseau 
S33F ws, » [ig Commutateurs IE 
$7-1513F 1513F-... > 
CPU 1513F-... Se % > ( WWLAN 
+, > Clap Industrial Security 
“tay [ig Passereties 
“se [ig IEIAS-\ Link 
: ; © Yah PEN COHT.....0.... 
Drag&Drop : Drag&Drop * i | 
4 : » [i DPIAS-| Link 

PNPN 
PNIPN Coupler 
Non affectées 
Interface X2 


Marche a suivre 
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1. 


Copier avec Glisser-Déposer le coupleur PN/PN a partir du catalogue matériel 
« Profinet |O > Passerelle > Coupleur PN/PN » dans la vue du réseau. 


Affecter l’interface du coupleur X1 (gauche) par Glisser - Déposer a votre CPU et adaptez 
le nom de l'appareil et l’adresse IP (Cf. feuille descriptive dans coffret). 


Affecter l’interface du coupleur X21 (droite) par Glisser - Déposer a votre CPU et adaptez 
le nom de l'appareil et l’adresse IP (Cf. feuille descriptive dans coffret). 


Suite page suivante 
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7.8.2. Exercice 1 : Configurer les zones de transfert du coupleur PN/PN 


Général | Variable 10 
» Généra 
> interface PROFINET [x1] 
> interface PROFINET [x2] 


+ Pararnétres des modules 


PUBBTRIVE. .cccccees . 
Shared Device *. ‘ 
*. 
a 
Manpage Ges donntes © entre Citertace PROP MET X1 et a2 
goseseecesevecncsescscescsesseneses “ADEADERM RARE AT ET teen ene PTITTI Tit tttitiie * ———— 
3. iemecenenter: «= Ereptecerre_ Type Lene torquetG  A@eue) AgweeQ Acct vs me 28 pastes ate ee ~~ verges © out 
2 2 re wie S03 BRS SR Stator Ht were tat mut Syent 6 en 
: wor LF ten) 6 Gyek) TRLIG2 «2929S SPS SS SR ster ct ver et 2 mout . Byte) 12 Oye 
: 


Mappege des dormers 10 errire Fivteriane PROPWET 1 et 2 


eee EERE EERE EERE EERE EERE EEE EE SEER SEER EERE EEE EERE EEE E EERE EERE ER 


AG) 


—— eatnce ROPAET IG : 

De Fe rere terpeent ‘or ae a oe) “Pew oornrey oO were Dore te wre rowers er nee®. ree 2 mee! some. om 4 
be i Se seat x) vem eter . i <4 #3 

mete F wo Doyen oye S38 aimee 5 wort toe) Ogee ee See) eT: 


i) Ouvrez dans les propriétés du coupleur « Transfermapping ». 
Insérez deux zones de transfert pour I’émission et la reception des données PROF Isafe. 
Renseignez les paramétres des zones de transfert de l’interface PROFINET X1 comme 
indiqué 

Bowe: les propriétés du coupleur « Transfermapping ». 


Insérez deux zones de transfert pour I’émission et la reception des données PROF Isafe. 
Renseignez les paramétres des zones de transfert de l’interface PROFINET X1 comme 
indiqué 

4. Affectez un nom d’appareil en ligne au coupleur PN/PN. 

5. Enregistrez et chargez votre projet 


Résultat : 

Le systéme entier devrait démarrer sans erreur une fois la station partenaire également 
chargée. 

Si ce n’est pas le cas, contrdélez une nouvelle fois le paramétrage et la liaison du coupleur 
PN/PN (Les deux groupes !) 


Suite page suivante 
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7.8.3. | Exercice 1 : Programmer les blocs RCVDP et SENDDP 


am. Evaluer larrrt 
eee re d’urgence de la 
Nebel SAUTE station partenaire 
. avec un bloc 
Type de données bas "ESTOP1" séparé 
"( car un 
interverrouillage 
pourrait se produire 


Améturgence_Distant_OK Bool 


ute 


1. Créez un bloc de données global de sécurité « GlobalS 
(Bool) "remoteEstopOk". 


2. Appelez le bloc d’émission « SENDDP » et le bloc 


de réception « RCVDP »au bon endroit de votre © Ted PROFIBUS {PROFINET 
programme de sécurité. teeeeheae ENUF. eeeee ad GNSS P kL ges 0 
@ Acvor Receive date (16 BOO.. V3.0 


Remarque : Utilisez la version la plus récente des PEs Feliote ta edhe 39 
blocs ! 


3. Transférez la libération globale de l’arrrt d’urgence (E2) 
via le bloc d’émission « SENDDP » a la station partenaire. 


4. Sauvegardez la libération de l’arrrt d’urgence de la station partenaire dans la station 
partenaire " GlobalSafetyData".remoteEstopOk. 


5. Paramétrez les autres interfaces nécessaires du bloc de données d’émission et de réception 
en fonction de la configuration de votre coupleur. 


Remarque : il faut se synchroniser avec le groupe partenaire 


Suite page suivante 


TIA SAFETY - Communication de sécurité 
7-22 Document de formation V16.00.00 


SIMATIC TIA Portal Safety Advanced 


7.8.4. Exercice 1 : Organigramme 


11. Le signal de validation global de la station partenaire ("GlobalSafetyData" .remoteEstopOk) 
doit maintenant rtre exploité par tous les appareils de l’installation. Evaluez dans le bloc de 
sécurité « ControlRoom » l’arrrt d’urgence rajouté par un nouvel appel de ESTOP1 » 


Note : Si ’évaluation est intégrée dans le bloc « ESTOP1 » existant il en résultera un 
interverrouillage. 


12. Transmettre le signal d'arrét global nouvellement généré a toutes les unités. La fonctionnalité 
est identique a celle de I'arrét d'urgence global existant. 
13. Chargez tous les blocs dans la CPU. 


14. Enregistrez votre projet et testez la fonction. 


Résultat : 
Les deux stations doivent pouvoir désormais placer l’installation commandée par la station 
partenaire a l'état de sécurité (coupure de I’installation) via le bouton d’arrrt d’urgence (E2) du 
poste de contrdle. 
Remarque: Lors de la coupure par la station partenaire il faut d’abord acquitter la station 
partenaire puis la station elle-méme 
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Exercice 2 : arrrt d’urgence groupé via |I-Device 


Enoncé 


Procédure 
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La communication sécurisée via un coupleur PN/PN doit maintenant étre remplacée par une 
communication sécurisée via I-Device. La possibilité de désactiver une station partenaire a l’aide 
du bouton d’arrrt d’urgence de la station Poste de contréle doit rtre maintenue, la station 
partenaire doit posséder la méme possibilité. 


Etablissez une connexion PROFINET directe avec la CPU de la station partenaire et clarifier 
quel groupe prend le réle du groupe IO Contréleur et quel groupe prend le rdle de I'l-Device. 


Pour la programmation vous utiliserez l’exemple applicatif 


« Communication de sécurité |O-Controller-I|-Device » Vous trouvez le document sur votre 
PC 


DDE csiecincdeaee be ccdiee 


Suivez les étapes du chapitre 2.2 et observez la distribution des rdles lors des étapes de 
l’'exercice 


Remarque : Les étapes de l’exercice |-Device « plusieurs I-Device raccordés a un 
contrdéleur » ne sont pas nécessaires. Les étapes de |’exercice pour |O-Contréleur 10 a 13 ne 
sont pas nécessaire a votre application. 


(Suite de l’exercice sur la page suivante) 
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7.9.1. Exercice 2 : Configurer la CPU 


3. Lorsque vous avez réalisé la programmation comme dans l’exemple au chapitre 2.2, 
poursuivez avec la programmation au chapitre 2.3 « Communication |O-Controller-Il-Device ». 


Remarque : Il ne sera pas nécessaire de reprendre toutes les étapes si l’exercice 1 a été 
traité. 


4. Intégrer la désactivation de la station partenaire au niveau de votre programme de sécurité 
(voir exercice 1 étape 12&13). 


5. Chargez l'ensemble des blocs dans la CPU. 


6. Sauvegardez votre projet et testez la fonction. 


Résultat : 


Les deux stations doivent maintenant pouvoir désactiver et amener l’installation du groupe 
partenaire dans un état sar a l’aide de l’arrrt d’urgence du poste de commande (E2). 


Remarque : Lors de la désactivation par la station partenaire il faut d’abord acquitter la station 
partenaire puis la propre station. 
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7.10. Informations 
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7.10.1. Programmation coupleur PN avec firmware v3.0 ou inférieur 


Projet 1 H Projet 2 A 
t u 
S7-1500F ET200SP F I s7:1500F_ Mach ET2005P-F_Mac_ 
Chey 157361 PN i 155-6 PN ST 0 crussisr-i my WM 155-6 PH ST 
stisor 8) ' $7-1500F_N... ©) 
! 
PNAE 92.568 oF ; t PNAE 2 192.568.717.704 
PNAE ¥> Y92.168 477 102 PAE 2 199 Ye8 111 402 
—————| peat 7 
Lees 


PNPM -Cougiher 
PROPN Coupler K2 brad 
57-1 Mach 


PMAEL_2: 192.760.1171 103 


¥ 
z - >| [100% : a 
Vue d'eesembie des appar. Vue dememble des appar. 
W Mature —- mee W resin ReaD Arye. Aen) \Agume® (tee 
° Pe Cole, : 0 Coupleur PWN i! > PEP Coupter fe) 0 Compare PPA ID 
e mot F) n ne re ¢ 
xen 
ete 
Remarque 


Dans I’éditeur « Appareils et réseaux », désactivez le paramétre d’affichage de validité des 
données DIA dans les propriétés du coupleur PN/PN. II s’agit de la configuration par défaut. Si ce 
parameétre n’est pas désactivé, aucun transfert de données sécurisé ne peut rtre assuré entre des 
contréleurs IO. 


Création de zones de transfert 


Pour chaque connexion de communication sécurisée entre deux CPU de sécurité, vous devez 
configurer une zone de transfert destinée aux données de sortie et une zone de transfert 
destinée aux données d’entrée pour le coupleur PN/PN dans I’éditeur « Appareils et réseaux ». 


Régles de configuration pour les zones de transfert 


Données a émettre : 


La zone de transfert destinée aux données de sortie doit pouvoir contenir 12 octets (données 
cohérentes). La zone de transfert destinée aux données d’entrée doit pouvoir contenir 6 octets 
(données cohérentes). 


Données recues : 


La zone de transfert destinée aux données d’entrée doit pouvoir contenir 12 octets (données 
cohérentes). La zone de transfert destinée aux données de sortie doit pouvoir contenir 6 octets 
(données cohérentes). 
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7.10.2. Exercice 1 : Arrrt d’urgence global via coupleur PN avec firmware 
V3.0 ou inférieur 


Enoncé 
Actuellement chaque station travaille séparément sans liaison aux autres stations. 
Il faut maintenant réaliser une communication sdre entre 2 stations. La communication doit étre 
réalisée via un coupleur PN/PN. II doit étre maintenant possible de désactiver la station 
partenaire via un arrrt d’urgence et inversement. 

Préparation 


1. Intégrez une liaison PROFINET avec le coupleur PN-PN 
Remarque 


Synchronisez-vous avec le groupe partenaire au sujet des coupleur et des interface (X1,X2) 


Suite page suivante 
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7.10.2.1. Exercice 1 : Configurer le coupleur PN-PN et les zones de transfert 


le Vue topologeque = | dh Vue du réseau itv Vue des appareils 
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Procédure 


1. Copiez par glisser-déposer la version correcte de l’interface et de votre coupleur DP/DP dans 


la vue du réseau 


2. Insérez le coupleur dans le réseau de la CPU, adaptez le nom de |’appareil et son adresse IP 


(voir indications du schéma fourni). 


3. Configurez le module de d’émission (IN/OUT 6Byte/12Byte) 
et le module de réception (IN/OUT 12Byte/6Byte) 


Attention : synchronisez-vous avec le partenaire pour configurer l’emplacement des modules 


d’émission et de réception! 
4. Affectez un nom en ligne au coupleur PN-PN. 


Sauvegardez et chargez votre projet 


L’ensemble de la station ne doit pas présenter d’erreur dés la fin du chargement de la station 
partenaire. Sinon vérifiez encore une fois le paramétrage et la liaison du coupleur PN-PN 


(des 2 groupes) 


Suite prochaine page 
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7.10.2.2. Exercice 1 : paramétrer RCVDP et SENDDP 


valuer arr 
d’urgence de la 
station partenaire 
avec un bloc 
"ESTOP1" séparé 
npedndennten bre car un 
1 . interverrouillage 

ERR SOF | . Py i pourrait se produire 
ene autrement 


Nouveau bloc 
de données 


1. Créez un bloc de données global de sécurité « GlobalS foryData » ainsi qu’une variable 
(Bool) "remoteEstopOk*. tructions avancées 


2. Appelez le bloc d’émission « SENDDP » et le bloc 
de réception « RCVDP »au bon endroit de votre 


programme de sécurité. 1) PROFIBUS | PROFINET 


sen c-Si eee eter tray vee 
Recene'dsts EEQB. v3.0 
Le ee eh HM Mobile _ v3.0 


Remarque : Utilisez la version la plus récente 
des blocs! 


3. Transférez la libération globale de l’arrrt d’urgence (E2) 
via le bloc d’émission « SENDDP » a la station partenaire. 


4. Sauvegardez la libération de l’arrrt d’urgence de la station partenaire dans la station 
partenaire " GlobalSafetyData".remoteEstopOk. 


5. Paramétrez les autres interfaces nécessaires du bloc de données d’émission et de réception 
en fonction de la configuration de votre coupleur. 


Remarque : il faut se synchroniser avec le groupe partenaire 


Suite page suivante 
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7.10.2.3. Exercice 1 (suite) : Organigramme 
- —- 


f 


1. Le signal d’acquittement global de la station partenaire 
(« GlobalSafetyData ».remoteEstopOk) doit étre considéré et exploité comme un nouvel 
arrrt d’urgence global indépendant. Evaluez le nouvel arrrt d’urgence dans le bloc 
« ControlRoom » par un nouvel appel de « ESTOP1 ». 


Remarque : Si l’évaluation est déja integrée dans le module « ESTOP1 », alors il y aura 
un interverrouillage. 

2. Adaptez la nouvelle désactivation globale a tous les éléments de installation. La 
fonctionnalité est identique a l’arrrt d’urgence global déja en place. 
Chargez l'ensemble des blocs dans la CPU. 


4. Sauvegardez votre projet et testez la fonction. 


Résultat : 


Les deux stations doivent maintenant pouvoir désactiver et amener l’installation du groupe 
partenaire dans un état sar a l’aide de l’arrrt d’urgence du poste de commande (E2). 


Remarque : Lors de la désactivation par la station partenaire il faut d’abord acquitter la station 
partenaire puis la propre station. 
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7.10.3. Informations complémentaires F-Link 


7.10.3.1. Paramétrage 


Phase 1 Phase 2 


. Safety Administration 
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: if Type_F-Uee x. 1 
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Informations au sujet des communication F en place 


Sous « Flexible F-Link » vous obtenez des informations tabellaires au sujet des communications F 
paramétrées : 


« Nom univoque du nom de la communication F pour la CPU 

* Type de donnée API conforme (UDT) pour les données d’émission et de réception 
¢ Direction de la communication F : émission/réception 

* Temps de surveillance F de la communication F 

¢ UUID de la communication F 

¢ Les variables pour les données d’émission 


¢ Les variables pour les données de réception 


Attention 


Lors de la création d’une nouvelle communication avec Flexible F-Link au niveau de |’éditeur 
d’administration, le systeme fourni un UUID pour la communication F univoque. La copie des 
communications de I’éditeur « Safety Administration » au sein du tableau de paramétrage ou la 
copie dans une autre CPU F ne régénére pas les UUID des communications F et elle ne reste 
donc pas univoque. Si la copie est utilisée pour paramétrer une nouvelle relation de 
communication il faudra assurer l’univocité. Sélectionnez pour cela les UUID concernés puis 
générez les une nouvelle fois via le menu contextuel « Générer UUID ». L’univocité doit rtre 
contrélée lors de la réception du programme avec les documents de sécurité imprimés. 
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7.10.3.2. F-DB de communication 
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Transport de données de sécurité par des blocs de communication standard 


Pour l’acheminement des tableaux codés de sécurité il faut integrer au niveau du programme 


standard des blocs de communication qui assurent I’émission et la réception (Acquittement). Pour 
le traitement temporel correct des valeurs de processus vous disposez des OB F de pré et post 
traitement. Vérifiez lors de l'utilisation des blocs de communication standard que les tableaux F 


soient cohérents au moment de |’évaluation et que le temps de surveillance F soit tenu. 
Utilisez les instructions standard pour la transmission des données cohérentes de 
SEND_ARRAY : 

* TSEND_C 

« TSEND 

« USEND 

Utilisez les instructions standards pour la réception cohérente de ACK_RCV_ARRAY 

* TRCV_C 

« TRCV 

* URCV 
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8. Temps de réaction du systqme de sécurité 


1 l'issue de la formation, le participant au stage 


connaitra les différentes composantes permettant de déterminer le 
temps de réaction total 


pourra expliquer en quoi le temps de réponse d’une commande 
constitue une donnée critique en matiére de sécurité des machines 


saura utiliser le tableau S7Safety_RTT 
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ésentation 


Temps de réaction du systeme de sécurité : apergu 


: Borne d'entrée Borne de sortie : 
: Temps de réaction 3 


: Module 
: d'entrée 
: sécurisé 


Module de 
sortie sécurisé ; 


Capteur 7 i | Actionneur 


Module : = Module de 
d'entrée eee F ey sortie 
standard suet : ] standard 


$s DI DO A 


Enregistrer Evaluer 
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Temps de réaction 


Le temps de réaction, aussi appelé temps de réponse, est le temps qui s'écoule entre la détection 
d'un signal d'entrée et I’6mission du signal de sortie par le module de sortie qui est combiné a cette 
entrée. Les distances de sécurité requises entre les points dangereux dans une installation 
dépendent principalement de la vitesse d'approche et du temps d'inertie de la machine. Pour les 
applications critiques en temps, il convient d’estimer le temps de réaction de l’automate de 
sécurité pour optimiser les distances de sécurité. Il est a noter que plus les distances de sécurité 
sont courtes, plus l’espace de travail est réduit, plus les codts diminuent. 


Marge de fluctuation 


Le temps de réaction effectif se situe entre le temps de réaction minimum et le temps de réaction 
maximum. Pour configurer votre installation, vous devez toujours calculer le temps de réponse sur 
la base du temps de réaction maximum. 


Temps de réaction maximum 


Le temps de réaction maximum du systéme de sécurité est le temps le plus défavorable (worst 
case) pouvant s'écouler entre l’acquisition d'un signal de sécurité par le module d'entrée de 
sécurité et l'€mission d’un signal par le module de sortie de sécurité. 


Programme standard 


La CPU de sécurité exécute le programme standard et le programme de sécurité de maniére 
indépendante. Le temps de cycle maximum possible (OB1) et le temps de réaction du 
programme standard est prolongé par I'exécution du programme de sécurité. Le temps de 
réaction dépend donc de l'ampleur du programme de sécurité et de la fréquence a laquelle la 
CPU l'exécute. 


Programme de sécurité 


Le temps de réaction du programme de sécurité est en revanche indépendant de la taille ou du 
temps d’exécution du programme standard. Le temps de réaction lors de l’exécution de la 
séquence de programme dédiée aux applications de sécurité est donc indépendant du temps 
d’exécution du programme standard. 
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Temps de réaction sans erreur 


Pree Dh Bus de périphérie : Bus de périphérie Sortie F-DO 


Chien de 
Temporisation la Temporisation la Temporisation la Temporisation la Temporisation la garde 2 (ND) 


plus défavorable plus défavorable plus défavorable plus défavorable plus défavorable 


——— ro : 
i 4 Device_WD —_______» 
Device_WD F-Host_WD AT_WD) 


F_WD_Time 1 F_WD_Time 2 


ee eeeeeesessenee 


Temporisation la plus défavorable = TWCDT 
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Temps de réponse des fonctions de sécurité (Safety Function Response Time) 
Le temps « TWCDT + AT » correspond au temps de réaction total en cas d’absence d’erreur. Le 
temps « AT » tient compte des temporisations dans |’émission du signal aux points de transfert, 


le signal pouvant étre acheminé seulement au cycle suivant, le cas échéant (scénario le plus 
défavorable). 


Le temps maximum de réaction en cas d’absence d’erreur comprend... 
¢ le temps d'acquittement maxi. du module de périphérie de sécurité (Device_WD) 


« le temps d'exécution du programme de sécurité (F-Host_WD) 
(composé de Iintervalle d'appel et du temps d’exécution du groupe d'exécution de la 
séquence de programme) 


¢ du temps de rotation maxi. du systeme maitre PROFIBUS-DP ou du temps d'actualisation 
maxi. sur les reseaux PROFINET IO (F_WD_Time 1/2). 
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8.2. Table de calcul S7Safety_ RTT 


Afin de vous aider a déterminer le temps de réaction total, vous pouvez consulter le fichier Excel disponible 
a l’adresse http://support.industry.siemens.com/cs/document/93839056/simatic-step7-reaktionszeit-tabelle- 
safety-reaction-time-table-simatic-s7-1500f-s7-1200f?dti=0&lc=en-WW 

Ce tableau permet de déterminer en valeur approchée le temps d’exécution maxi. des groupes 

d’exécution du programme de sécurité, le temps de surveillance spécifique au programme de sécurité et le 
temps de réponse maxi. de votre systéme de sécurité. 


S7Safety_RTT 


SIEMENS met a disposition gratuitement le tableau Excel « S7Safety_RTT » qui permet de 
calculer le temps maximum de réaction en cas d’absence d’erreur ainsi que les temps de 
surveillance du programme de sécurité lors de la configuration et de la programmation du projet. 
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8.2.1. | Temps d’exécution maxi. du groupe d'exécution de la séquence du 
programme de sécurité (1) 


ONVERT iNT—>DanT 
Ww 


2 


SIMATIC STEP7 Safety V13 Reaction Time Table SIMATIC S7-1500F 


Le tableau d’estimation du temps de réaction S7Safety Reaction Time Table 
(S7Safety_RTTplus*.xls) permet d’estimer, sur le plan purement théorique, le temps d'exécution 
des séquences de programme de sécurité, le temps de surveillance et le temps de réponse de la 
CPU SIMATIC S7-1500F dés la phase de configuration du projet. Les temps d'exécution des 
blocs d'application de sécurité et des éléments de programme F-FBD (LOG) / F-LAD (CONT) 
ainsi que le temps d’exécution du groupe d'exécution de la séquence de programme de sécurité 
sont déterminés a partir du logiciel SIMATIC STEP7 Safety Advanced. S’agissant d’une 
estimation théorique, il convient de mesurer les valeurs effectives en situation réelle, en tenant 
compte des actionneurs, des capteurs et des conditions d’exploitation sur le terrain. Le fichier 
S7Safety_RTTplus*.xls n’engage pas son auteur sur le plan juridique. — ce titre, il ne saurait se 
substituer une recette technique sur site par un personnel qualifié et ne doit pas figurer dans la 
documentation de I’installation. 
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8.2.2. | Temps d’exécution maximum du groupe d'exécution de la sequence du 
programme de sécurité (2) 


Dt dexdcution 


CALL FBFIFCF 


Nombre de paramétres du type de données INT ou WORD qui sont connectés 4 un opérande avec un type de 
Gonnées différent (WORD au ire de INT ou INT au lieu Ge WORD) 


Temps d’exécution dans les conditions d’exploitation 


Le temps maximum d’exécution du groupe d'exécution F (TFPROG) peut étre rallongé 

notamment par la charge de communication (ex. communication S7, communication PROFINET 
E/S, communication PG/OP), par l'exécution des alarmes de priorité haute et par les fonctions de 
test et de mise en service. 

Vous pouvez mesurer l’incidence de ces facteurs en vous référant a la documentation et a la 
configuration du systeme standard. 
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Temps de surveillance minimum du programme de sécurité 


| Comtepeet ¢ chord le npmene rancid 


2 Condapeer ley reer te neeeierme npeedupars ! pele pmgne Comme ten! conentere 6! ane Ge carte abe 
Seer oreer tee cearees champs pe bevel bead ot ermpheser mace lee champs me beret mee dele per eres oF paw 
Une vale apprrenatics bs temas Ge nrcatarce spentupse F 4 dete dems dare we chene ne loral vert 
Perret ioe sews phe ge pee re pin ere tpt 
Contemameent ¢ parma OL BTM > ) te emge che merendieree FEI bate gee Gere gibi ee pate wugeremew ie IO) parc nmert & ke ates terete w ated 


) Verde que be temper dhe tt anew mm parree © a pee OMe bp erie em monet antare ae le satan 
Frechered be cen echeart ter tere de nawetencet apectt peer F 


OL COE te mers ares 

TROL TENE DRONE ATE DROOL OT LE OF RONEN PAO RAT OPO 

PN RA SOE MOEN RA VE BO ROL PN, bE SOIL 

DOF PME BE POLI BO SOTO OR OOO IEE OIE Pe 

Dare rp Fact AGAR RA OS AE BIL GR IE OSA OLE BEB OL POLE SO EOL the PP 
Dimer prmaner noe eke fe cane BO OLB NO OREN AEE LO IO OL ORY a 


Vw 
shee min pow “Tempe de opole mad Fe. 


ems de narve@ance a PROF Isa Teves 


surveillance du programme de sécurité 


Vous disposez de deux possibilités pour configurer le temps de surveillance de la communication 
sécurisée entre la CPU et le module de périphérie de sécurité : 


¢ Dans I'éditeur permettant de paramétrer la CPU F (propriétés de la CPU) ou 

« Lors du paramétrage du module de périphérie de sécurité, dans les propriétés du module de 
périphérie 

surveillance PROFlsafe TPSTO 


La valeur du temps de surveillance PROFlsafe TPSTO doit étre suffisamment importante pour ne 
pas déclencher la surveillance en cas d’absence d’erreur. 


Paramétre de TIMEOUT pour les instructions SENDDP et RCVDP 


8-8 


La surveillance du temps s'effectue via les instructions SENDDP et RCVDP ou SENDS7 et 
RCVS7 du partenaire de communication. Le paramétre de TIMEOUT du temps de surveillance 
doit étre identique pour les deux instructions. La valeur du TIMEOUT doit étre suffisamment 
importante pour ne pas déclencher la surveillance en cas d’absence d’erreur. 
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8.2.4. Temps de réaction maxi. 
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Temps de réaction maximum 


Le temps de réaction maximum du systéme de sécurité est le temps le plus défavorable (durée la 

plus longue possible) pouvant s'écouler entre l’acquisition d'un signal de sécurité par le module 

d'entrée de sécurité et l'€mission d’un signal de sécurité par le module de sortie de sécurité. 
Régle relative au temps de réaction maximum d'une fonction de sécurité 


Le temps de réaction maximum d'une fonction de sécurité doit étre inférieur au temps de 
tolérance aux défauts du processus. 


Temps de réaction en l’absence d’erreur 


Il s'agit du temps de réponse requis en situation réelle. Les mesures suivantes permettent 
d'optimiser les temps de réaction : 


¢ Raccourcir l'intervalle d'appel du groupe d'exécution de la séquence du programme de 
sécurité 


Accélérer le transfert via le bus (par exemple : augmenter le débit du réseau PROFIBUS) 


Passivation au niveau des modules 


Optimiser en temps les modules F-DI (ETOR de sécurité) (par exemple : optimiser le temps 
de discordance, en tenant compte des impératifs de la fonction de sécurité) 


Utiliser une CPU plus rapide 
... en cas d'erreur 


Uniquement en cas d'erreurs multiples, conformément a la norme CEI 61508. 


... quel que soit le temps d’exécution du systeme standard 


Uniquement si le groupe d'exécution de la sequence du programme de sécurité a été appelé par 
des OB de priorité inférieure (par exemple OB1) et peut donc étre interrompu par des OB de 
priorité supérieure (par exemple FOB). 
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8.2.5. | Temps de réaction type (1) 
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8.2.6. | Temps de réaction type (2) 


Temps de réaction max, pour la structure typique de quantité en S ebsence o'er eut sss ~ 


ET 200S5P F.01 &24V0C HF (BEST 196-46A0 .OCAD) 


cc 


centiaisée 

96 kbe's 

19.2 kit's 

45 45 (31 25) ktvt's 
93 75 kins 

187.5 kint's 

500 kbil’s 

15 Mbit's 

) Mmdt's 

6 MRa's 


Estmabon du temps de réaction 
max Ge fentée a la sorbe (sans 
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8.2.7. | Temps de réaction type (3) 


rh 


Teergs de rhacton max. pow ls struchue tyeique de qaambne en fabsence erreur Eee oe 


ET 200sP fx24VD0 HF IGES? 190-SHAD OCAD) 


[i =] 


1212F.C OCDC Rewy (GEST 212. 1HF40.0XB80) | 1212FC DOMCIDC (GEST 212. 1AF 40-0Xx1 
1214FC OC/DC/Retay (GEST 214. 1H 40-0XB0) / 1214FC DOMDCIDC (GES? 214-1AF 40-0X1 
1215FC OC/DC/Relay (GEST 215. 1HF40.0K80) / 1215FC DODCIDC (SES 215. 1AF 40-0Xx1 
1510SP F.1 PN @ES7 §10-1S201.0AB0) 

1512SP F.1 PN (GES7 512.1SKD01-0A80) 

151161 PN GEST 511. 1FK01.0480) 

1§13F-1 PN (GEST 513-1FL01-0AB0) 

1515F.2 PN (GES? 515.2FM01.0AB0) 

1S16F.3 PDP (GEST 516-3FN01.0AB0) 

, 


L173 POF (FES 1 51 7-3r P00 DADO) / 1517 Tr -3 PNOF (GES 7 517-SUPO0-0A50) 
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8.2.8. | Temps de réaction type (4) 


Temps de reaction max. pour la structure typaque de quantité en Fatwence derreut a a 


ET 200SP: F.01 R4VDC HF MEST 196-480 -OCA0) 


t510F 3 PDP (HES7 516.9FND1-OABD) 


Temps Cexécuton Tt ms 
ewrent © 


Estmabon du temps de réachon 
max de fertrée 4 la sorbe (sans 
Capteu ef achonneur) en fabsence 
deoreu 
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8.2.9. | Temps de réaction type (5) 


Temps de reaction mas. pour te structure typique de quantité en Fabsence d erreur a 


ET 200SP F.01 &r24VDC HF (ES? 1.6 68A0 0OCAD) 
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1516F.3 PDP (SES? 510.3F N01 DAKO} 


10 
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1000 
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Estenaton du temps de thacbon 
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dereu 


TIA SAFETY- Temps de réaction 
8-14 Document de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


8.2.10. Temps de réaction type (6) 


Temps de reacton mas, pour la @nacture Ge quannté en | absence d erreur ~~ 
Revteawen ae mbads weir recboAb ranitidine 


_ 


ET 200SP F081 Ox24VD0 HE ES? 196-0840 .OCAD) 
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Estimation du teenps de réaction 
max de lertrée a la sorte (sans 
Captesr ef actonneur) en fabsence 
dernreu 
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8.2.11. Temps de réaction type / Résultat 
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ET 2005 F-O1 &24,VDC HF (6ES7 136-6BA0 40CAD) 


PROFINET 


1516F -3 PDP (GES7 516-3FND1-0AB0) 
20 
100 ms 


ET 200SP F-DO 424V0C/2A PM HF (GEST 136-6080. -0C AD) 


Estimation du temps de réaction max. de entrée a la sortie (sans capteur et actionneur) en absence d'erreur - 
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8.3. Correlation Temps de réaction / Distance minimale 
(norme ISO 13855) 


Formule générale de calcul : 


S = K x T a cen cas Gapproche aigiearon 


S = Distance minimale en mm 
K = Vitesse d'approche 2 mm/ms 
T =t1+t2+t3enms 


t1 : temps de réponse des équipements de 
protection électrosensibles (ESPE) 


t2 : temps de réponse de l'interface de sécurité t3 : 
temps d'arrét de la machine 


C =8-x(d- 14) enmm (distance supplémentaire) 
d  =résolution de l'ESPE (plage de 14 a 40 mm) 


Distance minimale et rqgles d’installation des équipements de protection 


Les équipements de protection électrosensibles ne peuvent remplir leur fonction de sécurité que 
si une distance minimale est respectée. Le calcul de la distance minimale de sécurité dépend du 
type de protection mis en ceuvre. La norme harmonisée ISO 13855 « Positionnement des 
moyens de protection par rapport a la vitesse d'approche des parties du corps » (anciennement 
EN 999) permet de déterminer les emplacements de montage et de choisir le mode de calcul 
approprié pour déterminer la distance minimale de sécurité en fonction du dispositif de protection 
mis en oeuvre. 


Les distances de sécurité entre les points dangereux dépendent principalement de la vitesse 
d'approche et du temps d'inertie de la machine. 


Pour les applications critiques en temps, il convient d’estimer le temps de réaction de 
automate de sécurité (cf. la formule de calcul ci-dessus : t2 = temps de réponse de l'interface 
de sécurité) pour optimiser les distances de sécurité. 


Définition du temps de tolérance aux défauts de processus 


Le temps de tolérance aux défauts issus du processus correspond a la durée pendant laquelle un 
processus peut étre exploité en toute autonomie sans entrainer de risques pour |’intégrité 
physique du personnel ni de dommages pour I'environnement. Le temps de tolérance aux défauts 
de processus dépend du type de processus. II doit étre défini individuellement. 
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9. Reception d’une installation 
9.1. Base juridique : Directive Machines 
DIRECTIVE 2006/42/CE DU PARLEMENT EUROPEEN ET DU 


CONSEIL du 17 mai 2006 relative aux machines et modifiant la 
directive 95/16/CE (refonte) 


(19) Au vu de la nature des risques liés a l'utilisation des machines 
couvertes par la présente directive, il convient d’établir des 
procédures d’évaluation de la conformité aux exigences 

essentielles de santé et de sécurité. Ces procédures devraient étre 
concgues eu égard a l'importance du danger inhérent a ces machines. 
Par conséquent, chaque catégorie de machines devrait étre assortie 


d’une procédure adéquate qui soit conforme a la décision 93/465/CEE 
du Conseil du 22 juillet 1993 concernant les modules relatifs aux 
différentes phases des procédures d’évaluation de la conformité et les 
réegles d’apposition et d’utilisation du marquage « CE » de conformité, 
destinés a rtre utilisés dans les directives d’harmonisation technique, 
et qui tienne compte de la nature de la vérification requise pour ces 
machines. 


Réception d’une installation 


Lors de la réception d’une installation, il convient de respecter toutes les normes pertinentes 
spécifiques au domaine d’application. Ceci vaut également pour les installations non soumises a 
une obligation de réception. Lors de la réception, vous devez respecter les obligations figurant 
dans le rapport de certification. La réception d’un systeme F est généralement effectuée par un 
expert indépendant. 


TIA-SAFETY + Réception d’une installation 
9-2 Document de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


9.2. Marche a Suivre pour une machine stre selon la directive 


Machine 


Evaluation des risques 


Réduction des risques 


Attestation 
de la conformité 


Décrire 
oa Ima in 


Définir et évaluer 
les mesures 


Documenter 


Mettre en ceuvre 
et mettre en service 


Attester la conformité 


a la directive 


La validation est l’une des phases du modéle de processus a suivre pour le développement d’une 


machine sare. Elle s’applique a l'ensemble de la machine. Cette phase englobe la validation du 


systéme de sécurité. 
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9.3. Qu’est-ce que la validation ? 


Selon les normes EN ISO 13849-2 (version 2012) et EN 62061, la 
validation est la vérification d’un systeme de sécurité sous les aspects 
suivants : 


« Les exigences de la spécification de sécurité (SRS) sont-elles correctement et 
efficacement mises en ceuvre ? 


e Les fonctions de sécurité de la machine sont-elles correctement mises en ceuvre ? 


e La mise en ceuvre répond-elle aux caractéristiques et a la qualité requises en 


matiére de techniques de sécurité ? 


La réduction des risques est obtenue grace aux fonctions de sécurité et a d’autres mesures 
(constructives, techniques, organisationnelles). 


SRS est l’abréviation de Safety Requirements Specification (spécification des exigences de 
sécurité). 
Les normes CEI 51508-2 (Annexe B) et CEI 61508-3 (Annexe A) décrivent en outre des 


procédures pour éviter les défaillances systématiques. Leur respect accroit la qualité des 
fonctions de sécurité et contribue au succés de la validation. 
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9.4. Insertion de la validation globale (essais de réception) dans le 
modeéle de processus 


Modeéle général de processus (modeéle en V) 


Evaluation du risqu Validation Systeme 


selon EN ISO 12100 globale global 
= du produit validé 


Spécification 
de sécurité Pree rrr Test de la 
mat. et log. spécification 


DEPART 


Architecture Test 
Steere ee eset eee eeeeee 


mat. et log. d'intégration 


onception mai Test modules 


Documentation matériels 


Vérification 
Validation 


— c 
<2 
= 
oe 
ono 
6 2 
ao) 
S35 
Os 


onception log Test modules 
Documentation logiciels 


Réalisation Pte 


ee VErification 
Validation 


Le modéle en V représenté est le modéle générique pour le développement et la validation d’un 
systéme de sécurité. 
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9.5. Vérification < > Validation 


Définitions de la vérification et de la validation selon EN 62061 : 


Vérification Validation 


Confirmation par examen (par ex. 


essais, analyses) que le systeme 
relatif a la sécurité et les parties du 
systeme¢,relatif a la sécurité 


satisfont aux exigences des 
spécifications correspondantes. 


Activités en pointillés 
bleus dans le modéle en V 
(vérification de l’exécution 
correcte des différentes phases) 


Vérification : 
Démontrer la vérité 


Validation : 


Vérifier l’efficacité 


Confirmation par examen (par _ eX. 
essais, _ analyses). que le systéme 
relatif a la sécurité satisfait aux 

exigences de sécurité 

fonctionnelle pour une application spécifique. 


Activités en lignes 
vertes continues dans le modéle en V (vérification de l’adéquation 
de l’application) 
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9.6. Mesures de validation avant la validation globale du produit 


I Que devez-vous valider ? 
1. Spécification des fonctions de sécurité 


-> par ex. revue de la spécification 


Concept de réalisation, architecture et fiabilité 

-> par ex. SET (Safety Evaluation Tool) 

Mise en ceuvre mateérielle 

-> Analyse du schéma et du cablage/configuration matérielle 

Mise en ceuvre logicielle 

-> Vérification (revue) logiciel, documentation et diagrammes de flux 


Application globale (essai de réception) 
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ets Validation de l’application globale 


ue devez-vous valider ? 
1. Mise en ceuvre et fonctionnement correct des fonctions de sécurité 


2. Robustesse de la mise en ceuvre des fonctions de sécurité en cas d’apparition de défauts 


Objectif de la validation : 
L’objectif de la validation est d’attester que les fonctions de sécurité ont été mises en 
ceuvre conformément aux exigences, que le logiciel (d’application) concourt a l’exécution 
correcte des fonctions de sécurité et que les mesures de prévention des défauts sont 
efficaces. 


omment devez-vous procéder ? 

Effectuez un contréle de fonctionnement des fonctions de 
sécurité a l’aide d’un « test en boite noire ». Réalisez des 
simulations de défauts (tests d’injection de défauts) sur la 
base des résultats des analyses effectuées. 


Avant de procéder aux contréles de fonctionnement, vous devez vérifier que la configuration 
correcte est bien activée dans le systeme de sécurité (MSS). Cette vérification s’effectue par 
vérification de la somme de contrdle affichée de la configuration. 
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9.8. Personnes autorisées et procés-verbal de réception 


Le test de chaque fonction SI doit étre effectué par une personne autorisée et 
documenteé dans le procés-verbal de réception apres signature. Le proces- 
verbal de réception doit étre conservé dans le journal de bord de la machine. 
Une personne autorisée au sens ci-dessus est une personne habilitée par le 
fabricant de machines qui est capable d'effectuer de maniére adéquate 


l'essai de réception en raison de sa formation professionnelle et de sa 
connalssancares fonctions de sécurité. 


Personne autorisée 


Une personne autorisée peut également étre un employé d'une autre entreprise chargé 
d'effectuer les essaiS Si les conditions ci-dessus sont respectées. Un responsable du fabricant 
des machines doit toujours confirmer l'exactitude du procés-verbal de réception ; i! s'agit en 
général du responsable de la sécurité de l'entrepris®. 
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9.9. Contenu d’un essai de réception complet 


1. Documentation 

1) Description de la machine et image d’ensemble 

2) Fonctions SI du programme de |’API / Impression 

3) Description des dispositifs de sécurité 

4) 2. Essai de fonctionnement avec verification de chaque fonction Sl 
utilisée 

(5) par ex. : surveillance de la porte de sécurité 

(6) par ex. : fonction d’arrrt d’urgence 


3. Conclusion du procés-verbal + Documentation e en service et 
contre-signatures 


(1) 
(2) 
(3) 
(4) 


1) Contréle de l’impression du programme 


(1) 

(2) Consignation des sommes de contréle i ’ i 
(3) Vérification des sauvegardes de données = 
(4) Signatures —" 


4. Annexe + Enregistrements des mesures effectuées lors des 
essais de fonctionnement 


Contenu de l’essai de réception 


La réception compléte d’une machine inclut également la documentation correspondante relative 
aux parties mécaniques, commandes, structures, processus etc. liés a la sécurité. Des 
dispositions trés strictes s’appliquent en outre aux machines et installations soumises a une 
obligation de conformité aux exigences de la FDA. 
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9.10. Impression de sécurité 


L’impression de sécurité génére une documentation relative au 
programme de sécurité et aide a la reception de I’installation. 


L’impression de sécurité comprend : 
* Des informations générales pour l’identification du programme, par ex. 
* Versions logicielles utilisées 
* Signature globale F et horodatage de la génération 
* Des informations sur le matériel, par ex. 
* F-CPU avec indication de la version de firmware 
° Périphérie F utilisée et son paramétrage 


* Des informations sur le programme de sécurité, par ex. 


* Blocs programme utilisateur avec signature hors ligne 
* Blocs bibliothéque utilisés avec signature hors ligne 


Impression de sécurité 


Vous pouvez imprimer toutes les données importantes relatives a la configuration matérielle de la 
périphérie F et du programme de sécurité. L’impression de sécurité ainsi obtenue constitue non 
seulement une documentation, mais sert aussi de base a la vérification de conformité de tous les 
composants de l’installation. II s’agit d’une condition préalable a la réception de l’installation. 
L’indication de la signature globale F dans le pied de page de l’impression garantit l’'affectation 
correcte de l’impression a un programme de sécurité. 
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9.10.1. Création d’une impression de sécurité 


Marche a suivre pour la création d’une impression de sécurité 


Gores ws prowt a0 Lees motattiswin 
. Ae 
DB lectern carte mtrreee 


Comore: le Cermtie 6 emegrnt de baie 


‘ Lg Thles de vauakiation ot de tocege permease 
. a Seer gerdier on kore Pa x bain Sine ‘ 
° iw voces O deers Prapet Meetety_petemeren vie 
» (i Oermtes deppered prow Dorraprt MApetahtA_SAP_ IRA LAE vie 
WY rteerenoms tare programe 0D Prayet_ Tagore Prat! fragt! 
gf Sree Berces 6 erm AC O Prapet Praet_ Tcety setesersvt wie 
DB Latest Or trates de mecneges of Oat Meeteitan_ den Mer ieey 
© (tates cree use nes 
0 feehere stcerteinee DW Lates be teeters de rere 
> Gj Hee (700 Comntorth ©  betates menue 
Force 0g Perphere cecermatise 
0 hee Apgar errors renege © cp AMOI Cormtentt 
> @ PiRpOse fas 1584 ee 
8 be Ape ren reaps 


Impression de sécurité 


L’impression de sécurité est la documentation du projet qui vous servira de base lors de la 
réception de I’installation. 
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9.10.2. Marche a suivre pour la création d’une impression de sécurité 


Marche a suivre pour la création d’une impression de sécurité 
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9.10.3. Exemple d’impression de sécurité 


Safety Administration 
Safety Summary 
General information 


Step 7 Rotessional Vi4 SPI 


POOR  Hnane tite 


ee eee ee ee ee be 
nee 8 hgh Beery hae He FN The cae wet Ihe ome beter wt oem 
© CR Ore Dem Peutng he ety epee Meee me Tae Oe 
Lhe teleda linen Ae teed helt otan Ree hla eee 


en epee tame of ihe tt emme gene - 

Race yikes omen of the ft mamtnme game OI ew 
UR MF reme one Lames b 
ee ho ed ON tere 
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9.11. Reception des modifications 


En cas de modifications mineures, ne testez pas de nouveau |l’ensemble de 
installation, mais seulement les modifications. 


La réception des modifications exige de vérifier : 


¢ impact des modifications (Risk Impact Assessment) ; 
* les blocs F modifiés ou ajoutés ; 
¢ les instructions et les blocs systeme F modifiés ou ajoutés ; 


* les parametres de sécurité des modules de périphérie F modifiés ou ajoutés 


L’évaluation d’impact (Risk Impact Assessment) permet également de définir dans 
quelle mesure les essais de fonctionnement doivent étre répétés ou étendus. 


Réception des modifications 


Vous pouvez procéder a la réception des modifications de la méme maniére que pour la 

réception initiale de l’installation. Cependant, pour que vous n’ayez pas a réceptionner a nouveau 
l'ensemble de l’installation en cas de modifications mineures, STEP 7 Safety Advanced vous aide a 
identifier les parties du programme de sécurité qui ont changé. En cas de modifications, il vous suffira 
d’effectuer les vérifications indiquées sur la diapositive. 
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9.12. Exercice 1 : Réalisation d’un essai de réception 


Effectuez un contréle de fonctionnement des fonctions de sécurité 
d’une station partenaire a l'aide d’un « test en boite noire ». 
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9.12.1. Exercice 1 : Description de la documentation relative a l’essai 


N° ntrees | Sorties Objet de onditions prealables Description de l'essai Resultat attendu Resultat de 

d’or- |concer- | concer- lessai réalisation lessai 

dre |nées nées Testeur / Date 
0 


Que faut- Conditions préalables Description de Quel est le L’essai a-t-il été 
iltester ?  particuliéres (par ex. variations _ l’exécution de l’essai résultat attendu de concluant ? 
dans la configuration) lessai ? 


N°d’ordre : 

Un numéro d’ordre est affecté a chaque essai dans les tableaux d’essais afin de pouvoir subdiviser et numéroter 
précisément chaque essai. 

Entrées concernées : 

On indique ici, pour une meilleure vue d’ensemble, les entrées a observer lors de l’essai. 

Sorties concernées : 

On indique ici, pour une meilleure vue d’ensemble, les sorties a observer lors de I’essai. 


Remarque : si aucune entrée ni sortie ne figurent dans cette colonne, il s’agit de signaux internes a la CPU qui doivent rtre 
observés par programme ou d’une table de variables qui doit rtre contrdlée. 

Objet de l’essai : 

On décrit ici objet de l’essai, c’est-a-dire ce qu’il faut tester. On indique brievement le comportement a tester ou qui a été 
vérifié. 


Description de l’essai/réalisation : 

On explique ici la maniére dont l’essai doit rtre exécuté ou quelle action doit rtre réalisée par le testeur. 

Résultat attendu : 

Apres réalisation de l’essai, on peut vérifier ici si l’essai a été positif ou non en comparant le résultat obtenu avec le 
résultat attendu décrit ici. 

Résultat de l’essai : 

Le résultat de l’essai est complété par le testeur. On indique ici, lors de |’essai, si le résultat attendu a été atteint ou non. Si le 
module ou le systéme n/atteint pas l’objectif d’essai fixé, il convient d’en noter ici brigvement la raison. 
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9.12.2. Exercice 1 (suite) : Essais avant la mise en marche 


onction N° ntrees } Sorties Objet de ‘onditions Description de I’essal Resultat attendu Resultat de l'essai 
d’or- | concernée paEENeS l'essai | préalables réalisation Testeur / Date 
dre js : 
0.0 


Vérification On doit vérifier (contréle Tous les cables sont 
du cablage visuel) que les cables posés et raccordés 
selon le (alimentations, lignes de selon le schéma. Eberle Thomas 
schéma signaux, lignes de bus) 
sont correctement posés et 01.01.2017 
raccordés selon le schéma 


Resultat de l’essai 


onction K 
Testeur / Date 


s 


Redémarrage _L’essai 0.0 doit étre_ L’installation est mise hors L’installation est 

de l’instal- terminé tension puis remise sous _ préte a fonctionner 

lation tension (CPU en RUN, 
aucune SF/BF 
allumée) 


Redémarrage 
installation 


de |’ 
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9.12.3. Exercice 1 (suite) : Essais en cours de service : Dispositif de levage 


O 
© 
> 
i 
) 
xe) 
— 
= 
7) 
° 
© 
2 
Q 


Actionnement 
de l’arrrt 
d’urgence 


Déverrouillage 
de l'arrét 
d’urgence 


Acquittement 
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L’installation doit rtre 


en service et les 


vannes commandées 
en mode Automatique 


L’essai 1.0 doit étre 


terminé 


L’essai 1.1 doit rtre 


terminé 


lessai/réalisation 


Actionnement de 
larrrt d’urgence 
sur la cellule de 
vannes 

110.0 1->0 


L’arrrt d’urgence 
est déverrouillé 
110.0 0->1 


La coupure de 
sécurité est 
acquittée via le 
bouton 
d’acquittement 
12.3 0->1 


Resultat attendu 


La coupure du F-PM doit 
intervenir instantanément ; les 
deux vannes doivent se 
fermer 

(état de signal « 0 ») 

110.0 0 

Q10.0 

Q3.0 

Q3.1 =0 


Aucun redémarrage 
automatique ne doit intervenir 
110.0 =1 

Q10.0 =0 

Q3.0 =0 

Q3.1 =0 


La commande des vannes est 
a nouveau opérationnelle 
110.0 =1 

Q10.0 =1 
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concernée | concernée 
s s 


122.0 Q17.0 Actionnement 
de l'arrrt 


d’urgence 


122.0 Q17.0 Déverrouillage 
de l'arrrt 


d’urgence 


Acquittement 


9-20 


L’installation 
doit étre en 
service et le 
moteur 1 
commandé 


L’essai 2.0 doit 
étre terminé 


L’essai 2.1 doit 
étre terminé 


réalisation 


Actionnement de l’arrrt 
d’urgence sur le Moteur 1 
122.0 1->0 


L’arrrt d’urgence est 
déverrouillé puis la 
commande bimanuelle 
actionnée 

122.0 0->1 


La coupure de sécurité est 
acquittée via le bouton 
d’acquittement et la 
commande bimanuelle 
actionnée 

12.3 0->1 


Exercice 1 (suite) : Essais en cours de service : Etiqueteuse (1) 


| lessai 
Testeur / Date 


Le Moteur 1 doit étre 
mis instantanément hors 
courant et tension 

122.0 =0 

Q17.0 =0 


Aucun redémarrage 
automatique ne doit 
intervenir 

122.0 = 1 

Q17.0 =0 


La commande du 
Moteur 1 est € nouveau 
opérationnelle 

122.0 = 1 

O17. =1 
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9.12.5. Exercice 1 (suite) : Essais en cours de service : Etiqueteuse (2) 


Description de l'essal 
réalisation 


Surveillance L’installation doit Actionnement des boutons Le Moteur 1 est 

bimanuelle alintérieur étre enservice. S1 et S2 alintérieur du commandé 

de la discordance Le Moteur 1 ne délai de discordance de | eee | 
doit pas étre 200 ms 122.6 =1 
enclenché 122.2 0->1 O17,05=1 
Q17.0 =0 122.6 0->1 


Surveillance L’installation doit | Actionnement du bouton Le Moteur 1 n’est pas 
bimanuelle endehors étreenservice. S2 et aprés la discordance, commandé 
de la discordance (S1__—_ Le Moteur 1 ne actionnement du bouton 222 =1 
intervient trop tard) doit pas étre S1 122.6 =1 
enclenché 122.6 0->1 Q17.0 =0 
Q17.0 =0 Attente : > 200 ms 
122.2 0->1 
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Surveillance L’installation doit | Actionnement du bouton Le Moteur 1 n’est pas 
bimanuelle endehors étre enservice. S1etaprésladiscordance commandé 
de la discordance (S2. Le Moteur1ne — paramétrée, actionnement 122.2 =1 
intervient trop tard) doit pas étre du bouton S2 122.6 =1 
enclenché 122.2 0->1 Q17.0 =0 
Q17.0 =0 Attente : > 200 ms 
122.6 0->1 
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9.12.6. Exercice 1 (suite) : Essais en cours de service : Robot Mode 
automatique (1) 


Entrees Sorties Objet de l'essai Conditions préalables Descfipti Resultat attendu Resultat de 
concernées_ | concernées k i essai 
réalisation Testeur / 
Date 


Actionnement L’installation doit rtre § Actionnement de Le Moteur 2 doit étre mis 
de larrrt en mode automatique arrrt d’urgence sur _instantanément hors courant 
d’'urgence et le Moteur 2 le Moteur 2 et tension 
commandé 14.1 1->0 14.1 =0 
O17.1 =0 


Déverrouillage __L’essai 4.0 doit étre L’arrrt d’urgence est Aucun redémarrage 
de larrrt terminé déverrouillé automatique ne doit 
d’urgence 14.1 0->1 intervenir 


Acquittement Lessai 4.1 doit rtre La coupure de La commande du Moteur 2 
terminé sécurité est est a nouveau 
acauittée via le opérationnelle 
bouton 14.14=1 
d'acquittement Oil =1 
12.3 0->1 
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9.12.7. Exercice 1 (suite) : Essais en cours de service : Robot Mode 
automatique (2) 


Entrees Sorties Objet de essai Conditions préalables Descfiption de Résultat attendu Resultat de 
concernées | concernées lessai/ l'essai 
réalisation Testeur / 
Date 


Ouverture dela L’installation doit 6tre Ouverture de la Le Moteur 2 doit étre mis 
porte de en mode automatique porte de sécurité instantanément hors 
sécurité et le Moteur 2 122.1 1-50 courant et tension 
commandé 122.1 =0 
O17.) = 0 


Fermeture de la_ L’essai 5.0 doit rtre Refermeture dela § Aucun redémarrage 
porte de terminé porte de sécurité automatique ne doit 
sécurité 122.1 0->1 intervenir 

122.1 =1 

Q17.1 =0 
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Acquittement Lessai 5.1 doit rtre La coupure de La commande du Moteur 2 
terminé sécurité est est a nouveau 
acquittée via la opérationnelle 
bouton 122.1 =1 
d’acquittement Oe. =1 
12.3 0->1 
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9.12.8. Exercice 1 (suite) : Essais en cours de service : Robot Mode maintenance 


9-24 


urgence 


Arrrt d’ 


® 
1S) 
c 
(9°) 
c 
® 
— 
= 
oO 
= 
(cd) 
me) 
ie) 
= 
~ 
{e) 
OQ 
ie) 
oc 


concernées 


concernées 


Actionnement 
de l’arrrt 
d’urgence 


Déverrouillage 
de l’arrrt 
d’urgence 


Acquittement 


Linstallation doit rtre 
en mode maintenance 
et le Moteur 2 
commandé 


L’essai 6.0 doit rtre 
terminé 


L’essai 6.1 doit rtre 
terminé 


réalisation 


Actionnement de 
larrrt d’urgence sur 
le Moteur 2 

14.1 1->0 


L’arrrt d’urgence est 
déverrouillé 
14.1 O->1 


La coupure de 
sécurité est 
acquittée via le 
bouton 
d’acquittement 
12.3 0->1 


Resultat attendu 


Le Moteur 2 doit étre mis 
instantanément hors 
courant et tension 

14.1 =0 

Cie. =0 


Aucun redémarrage 
automatique ne doit 
intervenir 

l4.1=1 

Q17.1 =0 


La commande du Moteur 2 
est a nouveau 
opérationnelle 

I4.14=1 

Q17.1 =1 
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9.12.9. Exercice 1 (suite) : Essais en cours de service : Test d’injection de défauts 


concernées | concernées l'essai/ 
| réalisation 
: 


Actionnement Linstallation doit rtre © Actionnement du 
du commutateur en service et le commutateur de 
de court-circuit Moteur 2commandé  court-circuit 


urgence 


Déverrouillage __L’essai 7.0 doit rtre Le commutateur de 
du commutateur terminé court-circuit est 
de court-circuit déverrouillé 


ao} 
A= 
= 
| 
o 


Acquittement L’essai 7.1 doit rtre Le défaut du canal 

périphérie terminé est acquitté via le 
bouton 
d’acquittement 
12.3 0->1 


Acquittement L’essai 7.2 doit rtre La coupure de 

arrrt d’urgence __ terminé sécurité est 
acquittée via le 
bouton 
d’acquittement 
12.3 0->1 


Court-circuit sur I’ 
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Le Moteur 2 doit étre 


instantanément mis hors 
courant et tension 

14.1 =0 

Q17.1 =0 


Aucun redémarrage 
automatique ni 
dépassivation ne doivent 
intervenir 

E4.1=0 

Al7.1 =0 


Aucun redémarrage 
automatique ne doit 
intervenir 

l4.1=1 

Q17.1 =0 


La commande du Moteur 2 


es a nouveau 
opérationnelle 
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9.12.10. Exercice 1 (suite) : Résultat 
Résumé de l’essai 


Constatations 
Constatations primaires (exigences non satisfaites) 


Constatations secondaires (exigences partiellement satisfaites) 


Remarques (exigences satisfaites) 
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9.13. Exercice 2 : « Mesure temps d’arrrt » Moteur 2 via Trace 


AS 24440222 
COoxreeeRaqgathaerse sd DH eWlees 2 
Mesure temps d'arrét [Traces dans l'appareil] 
3 cman) Ps 


**Secpeccsdbuncen?®® 40 


rma| 


ae 2 i) 
Be 
Be 
Be 


Enoncé 


On veut effectuer une « Mesure du temps d’arrrt » du Moteur 2. On évalue pour ce faire les 
signaux de retour (« S_FeedbackM2 ») des contacteurs lors d’une coupure du Moteur 2. Vous 
devez déterminer le temps qu’il faut au signal de retour (« S_FeedbackM2 ») pour changer d’état 
aprés une coupure du Moteur 2. La coupure doit rtre provoquée par l’ouverture de la porte de 
sécurité en Mode automatique. 


Marche a suivre 


Suite a la page suivante 
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9.13.1. Exercice 2 (suite) : Créer une Trace 


Marche a suivre 


Créez une Trace nommée « Mesure temps d’arrrt » 
Sélectionnez les signaux que vous voulez observer (voir diapositive) 
Choisissez un échantillonnage et une variable de déclenchement appropriés (voir diapositive) 


oN oS 


Enregistrez votre projet 
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9.13.2. Exercice 2 (suite) : Charger, démarrer et enregistrer une Trace 
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Marche a suivre 


1. Chargez la Trace dans la CPU 


2. Activez l’enregistrement. L’enregistrement s’effectuera alors de maniére temporaire dans une 
mémoire tampon circulaire. 


3. Aprés l’activation, l’enregistrement est en attente de déclenchement (TRIG=jaune). Aprés 
déclenchement de la variable, l’enregistrement démarre (REC=rouge). Attendez que 
l'enregistrement soit terminé (REC=gris). 


4. La mesure est maintenant disponible en ligne sur la CPU et doit étre enregistrée dans le 
projet hors ligne pour étre évaluée. 


5. Analysez la mesure et déterminez le « temps d’arrrt » sur la base du signal de retour. 
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10. | Maintenance et diagnostic 


A V’issue de la formation, le participant au stage saura 


interpréter les LED des modules de sécurité 
commander l’affichage sur les CPU 1500F 


identifier les erreurs/défauts, comprendre les messages de diagnostic 
et les éliminer 


remplacer un module et effectuer une mise a jour du microprogramme 
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10.1. Diagnostic général 
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Diagnostic systeme 


Tous les produits SIMATIC intégrent des fonctions de diagnostic qui permettent de détecter et 
d’éliminer les erreurs. Les composants signalent automatiquement les dysfonctionnements 
éventuels et fournissent des informations détaillées supplémentaires. Un diagnostic a |’échelle 
de l’installation vous permet de minimiser les temps d’arrrt non planifiés. Le systeme 
d’automatisation SIMATIC surveille les états suivants dans linstallation en cours de 
fonctionnement : 


¢ Défaillance/rétablissement d’un appareil 
+ Evénement de débrochage/enfichage 

* Erreur de module 

¢ Erreur d’accés a la périphérie 

¢ Erreur de canal 

¢ Erreur de paramétrage 


¢ Défaillance de la tension auxiliaire externe 


Messages de diagnostic 


Les erreurs de module sont affichées en tant que diagnostics (état du module). Une fois les 
erreurs éliminées, vous devez réintégrer le module F dans le programme de sécurité. 
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10.2. LED de signalisation 


F-DQ (stor de sécurité) F-DI (ETor de sécurité) 


La LED DIAG et les LED d’état de canal et d’erreur de canal des entrées ne répondent pas aux 
criteres requis pour les applications de sécurité. Elles ne doivent donc pas étre évaluées en 
liaison avec des fonctions de sécurité. 
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10.3. Signification des LED (1) 


F-DQ (stor de sécurité) F-DI (Etor de sécurité) 


Alimentation du bus interne de TET 200SP défectueuse 


2 EE 


Module non paramétré aire 


Module paramétré, pas de diagnostic du module 


+ 


Module paramétré et diagnostic du module 


he 
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10.4. Signification des LED (2) 


F-DQ (stor de sécurité) F-DI (ETor de sécurité) 


Utiisaton avec des CPU F S7-1200/1500 | une vore au moins 
attend lacquittement Ge futilisateur 
Utiksaton avec des CPU F S7-300/400 | une vole au moins 


attend lacquittement Ge utilisateur 
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10.5. Extensions de l’affichage sur les CPU S7-1500F 


Les CPU S7-1500F avec affichage affichent les 

informations suivantes dans le menu « Apercu », 

rubrique « Sécurité » : 

> Mode de sécurité activé/désactivé > 

Signature globale F 

> Derniére modification de sécurité 

> Version de STEP 7 Safety avec lequel le 
programme de sécurité a été compilé 

> Informations sur les groupes d’exécution F 
(RTGSYS Info) 


Pour chaque périphérie F, les informations 
suivantes s’affichent dans le menu « Etat », 
rubrique « Sécurité » : 

> Signature des parameétres F (avec adresse) > 
Mode de sécurité 

> Temps de surveillance F 

> Adresse source F 

> Adresse cible F 
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10.6. Marche a suivre pour le diagnostic d’erreurs ayant une 
incidence sur la sécurité (1) 


OMMENT se manifeste l’erreur ? S7-1S00F [CPU 15136 PA] 
> Erreur détectée par le systeme @ anisne: | 
(erreur module, dépassement cycle) 
Erreur fonctionnelle 
(erreur logique, déclenchement d’une 
fonction de sécurité) 


OU se manifeste l’erreur ? 


> dans le programme (blocs de sécurité) 
> sur modules de sécurité individuels > 
sur des stations completes 


QUAND se manifeste l’erreur ? 


Sporadiquement (a intervalles indéfinis) 
> A certains changements de signaux (par ex. signal d’entrée spécial) 
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10.7. Marche a suivre pour le diagnostic d’erreurs ayant une 
incidence sur la sécurité (2) 


Recherche d’erreurs 


1. Méme procédure que pour un diagnostic standard 
Examiner les messages de diagnostic 

> Vérifier le paramétrage 

> Vérifier le cablage 


2. Procédure spéciale pour les erreurs ayant une 
incidence sur la sécurité 


> Dépassement du temps de surveillance : 
- Vérifier le temps de surveillance PROFlsafe des modules 
> Erreur de paramétrage : 
- Vérifier les adresses cibles et les éléments de codage des modules F > 
Altération des données, erreur CRC : 
- Ne pas exécuter le programme standard pour détecter d’éventuels accés interdits 
- Bloquer la communication standard pour détecter d’éventuels accés interdits 
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10.8. Chargement cohérent de projets de sécurité 


PU 1 


ET200SP 2 . 
' . Chargement cohérent - 


Technicien 


e maintenance 
Pus a 


= 
Qh as 
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10.9. TIA Portal - Compatibilité en ligne 


Logiciel —— 


lA V13 SP1 
1: 
i 


A 
| | | 
Projet Projet Projet Projet Projet V15.1 
| | 
V12 SP1 V13 V13 SP1 Vv. V14/V14SP1 0, 
| (Mode comp) (Mode comp) | aK) | 


un | a un a 


<V14 < V15.1 


=V11 Vv12.0 V1i2 SP1 V13 SP1 V14/V14 SP1 V15.1 


Upload dans projet Download dans API Y. Online & Diagnostics 
* Sans configuration matérielle 
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ealglgigl gi gl a 


be Visualisation 
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10.10. Exercice : Recherche d’erreurs 
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Enoncé 
On veut a présent simuler un cas de maintenance classique. Vous étes un technicien de 
maintenance et vous vous rendez sur le site d’un client. L’installation est en panne. Vous devez 
rechercher l’ensemble des erreurs/défauts/dysfonctionnements et les éliminer afin que 
linstallation puisse redémarrer. 

Procédure 


Voir page suivante 
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10.10.1. Exercice 1 : Chargement du Service Projet (CPU+IHM) dans les appareils. 


> (gp 87-1509 [CPU 1539F-1 PH) 
BY Contguretion des sppereits 
} En ligne & Oiegrestic 
@ Salety Adminstrancn 


, Gad Sources extermes 

> [ag Veriebles An 

» 0B types de données A 
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Enoncé 
Pour effectuer la recherche d’erreurs, vous devez d’abord charger un projet défectueux dans 
l'installation. Vous trouverez a cet effet un projet sous « D:\Exercices_TIA_Portal_V16\TIA- 
SAFETY\Service_projet_V16 ». 
Le projet ne présente pas de protection. En exploitation il faudra toujours protéger la CPU et le 
programme de sécurité (protection Hors Ligne et En Ligne) 

Procédure 


1. Ouvrez le projet 
2. Charger la CPU et r'lHM. 
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10.10.2. Exercice 2 : Assignez a |ET200SP un nom En Ligne. 
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Enoncé 
Le nom d’appareil PROFINET doit rtre affecté En ligne a !ET200SP. Le contrdleur affectera ainsi 
l'adresse IP paramétrée Hors ligne lors de son démarrage. 
Procédure 
1. Retenez la vue de l’appareil ET200SP. 
2 Par clic droit sur IM accédez a « Affecter un nom d’appareil ». 
3. Vérifiez le nom d’appareil configuré. 
4. Retenez l’interface de liaison et actualisez la liste des abonnés 
5. Retenez lET200SP et activez « Affecter un nom » 
6. Enregistrez votre projet. 
Résultat 


La CPU et en RUN et la led rouge ERROR clignote. L’ET 200SP est paramétré. 


La led RN (RUN) de l'IM est permanente. Des modules signalent un défaut/diagnostic via la led 
DIAG 
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10.10.3. Exercice 3 : STOP - Recherche d’erreurs 


Enoncé 
Le projet de maintenance contient deux types d’erreurs : 
1. 3 erreurs systéme (erreurs détectées par le systeme) 
2. 3 erreurs de fonctionnement (erreurs non détectées par le systeme) 


Commencez par rechercher et éliminer toutes les erreurs systeme. Localisez ensuite toutes les 
erreurs de fonctionnement et éliminez-les. Le fonctionnement correct de l’installation est 
identique a celui décrit dans les exercices de programmation 


Procédure : Rechercher et éliminer les erreurs systeme 


A l'aide des possibilités de diagnostic en ligne (tampon de diagnostic, état du module, diagnostic 
de canal, etc.), recherchez et éliminez toutes les erreurs systeme. 


Premiére erreur : 
— Erreur 


* Deuxiéme erreur : 
— Erreur 


— Erreur 
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Procédure : Rechercher et éliminer les erreurs de fonctionnement 


A l'aide des fonctions de diagnostic (visualiser le module, tables de visualisation, octet de 
diagnostic des fonctions de sécurité, etc.), recherchez et éliminez toutes les erreurs de 
fonctionnement. 


¢ Premiére erreur : 
Les vannes d’arrét ne peuvent plus étre coupées via l’arrét d’urgence local « E3 » 


— Erreur 


¢ Deuxiéme erreur : 
Le Moteur 1 ne peut plus étre commandé via la commande bimanuelle 


— Erreur 


*  Troisiéme erreur : 
Le Moteur 2 ne peut plus étre commandé en mode automatique et en mode 
maintenance 


— Erreur 
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10.10.4. Solution : Erreurs sur modules 


Erreur Cause Correction 


Les signaux de l’arrrt d’urgence E2 
sont mal évalués (F-DI empl. 3 1002 antivalent => 1002 équivalent 
Paire de canaux 3,7 = 1002 antivalent) 


(F-DO empl. 6) 


: Po Tem rveillance F 
Le temps de surveillance F est réglé a sumige Cle uve 


une valeur trop basse (F-DI empl. 7) 80ms c— 150 ms 


L’adresse PROF Isafe (adresse cible F) 
2 est mal paramétrée Réattribuer l’adresse PROF Isafe 
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10.10.5. Solution : Erreurs fonctionnelles 


10-18 


Erreur Cause Correction 


Les signaux de |’arrrt d’urgence local (E3) 
et global (E2) sont traités avec l’instruction 
OR 


-> FB-Lifting 


TWO_H_EN ne fonctionne pas, le 
diagnostic du bloc fournit le code 16#01 
(temps de discordance mal paramétré) 
-> FB-Labelling 


Le démarrage du moteur 2 provoque 
immédiatement une erreur de relecture 
dans le bloc FBBACK (ERROR=1) 

Le diagnostic du bloc fournit l’erreur 16#41 
(Temps de relecture trop court) 

-> FB-Robot 
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Instruction OR rete | instruction AND 


Réattribuer l’'adresse PROF lsafe 


FDB_TIME 
Oms [—> 100 ms (>O0ms ) 
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11. Annexe: Migration d’un programme de sécurité 


Remarque : Le programme de sécurité 


est compilé uniquement si le mot de 
passe du programme de sécurité a été 
saisi. Sans saisie du mot de passe, seul 
le programme utilisateur standard sera 
compile. 


TIA SAFETY - Migration 


11-2 document de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


11.1. Migration de Distributed Safety vers STEP 7 Safety 


11.1.1. Changement dans la structure du programme 


Remarque : Le programme de sécurité 


est compilé uniquement si le mot de 
passe du programme de sécurité a été 
saisi. Sans saisie du mot de passe, seul 
le programme utilisateur standard sera 
compile. 


Migration des projets S7 Distributed Safety V5.4 SP5 vers STEP 7 Safety Advanced V16 


Dans STEP 7 Safety Advanced V16, vous pouvez continuer a utiliser les projets comportant des 
programmes de sécurité qui ont été créés avec S7 Distributed Safety V5.4 SP5. Pour cela, vous 
devez avoir compilé les projets dans S7 Distributed Safety V5.4 SP5, puis les faire migrer. 
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11.1.2. Recette technique 


L’opération de migration permet de créer un projet STEP 7 Safety complet avec un 
programme de sécurité dans lequel la structure du programme S7 Distributed 
Safety et la signature globale ont été conservées. 


Le projet migré ne nécessite pas de nouvelle réception (recette technique) et 
peut étre directement chargé dans la CPU de sécurité sans nouvelle compilation. 


L’édition du projet qui a été réalisé sous S7 Distributed Safety V5.4 SP5 et les 
dossiers de réception (impression) restent valides. 


Ce nest que lors de la recompilation du projet migré avec STEP7 Safety Advanced 
V16 que lui sont attribuées la nouvelle structure du programme et une nouvelle 
signature globale. 


Apres la migration 


Les blocs de sécurité de la bibliotheque F S7 Distributed Safety (V1) sont convertis en instructions 
pouvant étre utilisées par STEP 7 Safety Advanced. Le projet migré ne doit pas faire l'objet d’une 
recette technique et peut étre chargé dans la CPU F sans étre modifié, dans la mesure ou il n'est pas 
retravaillé apres la migration. 


Impression de sécurité 


Vous ne pouvez pas sortir une impression du programme de sécurité dans STEP 7 Safety 
Advanced pour un projet migré. L’impression du projet créé avec S7 Distributed Safety V5.4 
SP5, ainsi que les documents de réception associés, restent valides car la signature globale 
sécurisée a été conservée. 


Remarque 


Apres la migration d'un SM 326 ; DI 24 x 24 VCC (6ES7 326-1BK01-0ABO et 6ES7 326-1BK02- 
OABO), le message d'erreur suivant peut apparaitre lors de la compilation de la configuration 
matérielle : « F_IParam_ID_1: valeur hors de la plage admissible ». 


Solution : 


Supprimez le module et réinsérez-le. Le message d'erreur « Erreur interne lors du calcul CRC. Le 
CRC (F_Par_CRC) du module (x) ne correspond pas a la valeur calculée (y). » est une erreur 
consécutive a cette opération et disparaitra a la suppression de la cause. 
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11.1.3. Signature 


Téléchargement du projet migré sans modification 
La signature du projet migré correspond a celle du projet d'origine. 


*  Boite de dialogue Distributed Safety : 


(GB Programme de sécurté - STPPDS-2 convertin\ SIMATIC 30001 )\CPU 317F-2 PN/DP\ Exercice 


Hors ligne | Entgre | 
Chabeses 0 Enplacernert 2 peteneey 
Signature de tous les blocs F avec attibul F du dossier blocs 3 7BDAC2KE $ 


Signeture du programme de 1600"... seneeesseenss ® 2 
. Seeeeeee® 


Géndeation en cours $ 08/06/2017 08.43.39 
Teeu er eeee neat eee 


Le programme de sécurité ext cohérent 


»  Boite de dialogue Safety Advanced V16 : 


Program signature 

Description {Cline siguanss slmectrp cscesscesserrceseses 
. 

Collective F-signature 3 7BDACI6E 09/06/2017 09:49:33 (UTC +2:00) = 
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11.1.4. Téléchargement sans modification 


Téléchargement du projet migré sans modification 


Le mot de passe du programme de sécurité ne doit pas étre saisi lors de la 
compilation du projet. 


sy 


Configuration des appereds 
% En ligne & Ovegnostic 
© Sotety Administration 
, = Blocs de programme 


BY Configuration des sppareils 
% En ligne & Diagnostic 
© Safety Administration 

» [So Blocs de programme 
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11.1.5. Nouvelle compilation du programme 


Compilation du projet migré 


Apres la compilation du programme de sécurité, la structure et la signature du 
programme de sécurité changent. 


* Avant la compilation : 


OB35 F-Call Offline signature Time stamp 
73549811 3/5/2014 7:57:56 PM (UTC +100) 


* Apres la compilation : 


“Offline signature Time stamp 
9AB138AF 3/5/2014 9:18:01 PM (UTC +1:00) 
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Recommandation lors de la modification du programme de sécurité : 


Avant la premiere compilation 
avec STEP 7 Safety Advanced 


V16, les éléments de la_ bibliotheque 
systeme utilisés dans 
de sécurité doivent étre convertis dans 
la version la plus recente disponible. 


Le paramétre de conversion peut étre 
modifié dans Safety Administration, 
rubrique « Paramétres » (Settings). 


le programme 


Safety program settings 
Assignment of block numbers generated by the safety 


@® spaten manages 

~) Fond range 

TE rumen om FR " tore 
fC eurnben: tor FC - we fe 
08 number: rom OF > woe 


H System library elements used in calety progem 4 


. 
imtrecions Gatioct ir seston) BS 
. 
Fvyttem bauck: 
= KIE 


PO etcess VID <i 


: 
SGodedwuweveausedecuedtectecentces! 


Derniére version des éléments de la bibliothéque dans le programme de sécurité 
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Si vous souhaitez étendre le programme de sécurité aprés migration du projet, nous vous 
recommandons avant la premiére compilation avec STEP 7 Safety Advanced V15, a la rubrique 
« Paramétres » (Settings) dans I’éditeur Safety Administration, de mettre a jour les éléments 
utilisés issus de la bibliotheque systeme dans le programme de sécurité, en veillant a utiliser la 


version logicielle la plus récente. 
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11.1.7. Versions du programme de sécurité (2) 


Recommandation lors de la modification du programme de sécurité : 


Avant la premiére compilation avec #®&%s a" 4 —_ wat 9% 
STEP 7 Safety Advanced V16, ——-— 
sélectionnez la version la plus : = = or sseees 
récente disponible pour les me penn s 
instructions utilisées. :: 7 woe Sua § 
1 RD KO 5 ioe H 
Veuillez tenir compte des Freee aa te 
remarques relatives aux versions face = sas 
des instructions. > mee 


En cas de changement de version d'une instruction, il faut compiler deux fois 
pour obtenir un programme de sécurité cohérent. 


Derniére version pour les instructions 


Si vous souhaitez étendre le programme de sécurité aprés sa migration, nous vous 
recommandons avant la premiére compilation avec STEP 7 Safety Advanced V15 de mettre a 
jour les instructions utilisées en veillant a utiliser la version logicielle la plus récente. 


Compilation du programme de sécurité migré 


En compilant le projet migré, la structure du programme (avec F-CALL) est transformée en 
structure STEP 7 Safety Advanced V13 (avec bloc principal de sécurité - Main Safety Block). La 
signature globale est alors modifiée et le programme de sécurité doit a nouveau faire l’objet d’une 
recette technique, le cas échéant. 


Remarque 


Veillez a ce que lors de la compilation du programme de sécurité du projet migré, le temps 
d’exécution du/des groupe(s) d'exécution du programme de sécurité et la capacité mémoire du 
programme de sécurité soient étendues. 
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11.2. Migration de S7-300F vers S7-1500F 


Ouvrir le projet avec 
le matériel « Classic » et 


compiler @) 


Lancer la migration vers CPU 3178-2 PR 
CPU Z17F-2 Pral 


S7-1 500 ©) mn fY Configure tion des eppereils 
[Magrer vers 57-1500 


Rernplacer lappareil 


Couper 
Copier 
Jw Coller 


Suppnmer 


Migration d'une CPU de sécurité pour automate S7-300F vers une CPU de sécurité pour S7-1500 


Pour réaliser la migration d'une CPU S7-300/400F vers une CPU S7-1500F, il faut procéder comme 
pour faire migrer une CPU standard S7-300/400 vers une CPU standard S7-1500. Aprés la migration, il 
convient de tenir compte des éléments ci-dessous : 


¢ Création d'un groupe d'exécution du programme de sécurité et affectation du bloc principal de 
sécurité (Main Safety Block). 


« La configuration matérielle de la CPU d’origine (S7-300/400F) n'est pas automatiquement transmise 
ala CPU cible (S7-1500F). Réalisez manuellement la configuration matérielle de la nouvelle CPU 
aprés la migration. 


TIA SAFETY - Migration 
11-10 document de formation en version V16.00.00 


SIMATIC TIA Portal Safety Advanced 


11.2.1. Instructions non admissibles 


Instructions non prises en charge 
OV 
MUTING 
TWO_HAND 
WR_FDB 
RD_FDB 
OPN 
SENDS7 


5i Pun des blocs du projet est utilisé avec 
ne CPU de sécurité classique, la migration 
He I'API ne peut pas étre effectuée. 
eillez a adapter les appels de blocs 
Hans le projet. 


& 
3 


sage 
~ Anaog_values (FB2) 
wv Network 3 
Migration of OV is not supported for feilsefe blocks 
v Network § 
Migration of ‘OV is not supported for feilsafe blocks 
~ Main_Safety_Program (F681) 
wv Network 14 


Migration of TWO_HAND’ is not supported for feilsate blocks. 


80000000 


PLC migration (0678:000008) 


The requirements for the PLC migration have not been met. It 
is possible that the reference program is not currently 
compiled 


Migretion log 


== 


Migration d'une CPU de sécurité pour automate S7-300F vers une CPU de sécurité pour S7-1500 


Compilez le programme de sécurité et corrigez les erreurs de compilation signalées, le cas échéant. 


Remarque 


Une nouvelle réception est requise aprés la migration de la CPU F. 
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11.2.2. Modification de la programmation 


Types de données non pris en charge 
» DWORD 


La communication des groupes d'exécution du programme de sécurité 
n'est pas prise en charge. 


* Avec le S7-1500, I'echange de données entre les deux groupes d'exécution du 
programme de sécurité est a ce jour impossible. 


Modification des noms des DB de la périphérie de sécurité 


* Les noms symboliques des DB de la périphérie de sécurité changent apres la 
migration. Les noms doivent étre copiés manuellement aux différentes occurrences 
dans le programme. 


° F410 dats blocks - F4O date blocks 
dB F00300_s/eF-DIDC24¥ [0830001} 
ge f00306_4 F_DO_DC24y_24 [D8$47) F00306_4F-DODC24VI2A [DB30002] 


Modification de la programmation du programme de sécurité 
« Remplacement du F_GLOBDB.VKEO/1 par FALSE/TRUE. 


« Remplacement des valeurs lisibles de F_GLOBDB pour le DB d’information du groupe d’exécution 
du programme de sécurité. 


« Remplacement de la variable QBAD_|_xx ou QBAD_O_ xx par |’état de la valeur. 


La communication des groupes d’exécution du programme de sécurité n’est pas assurée. 
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11.2.3. Modification des fonctions de sécurité (1) 


Programmation modifiée du programme de sécurité 

* Remplacement de F_GLOBDB.VKE0/1 par FALSE/TRUE 

» Remplacement des valeurs lisibles de F_GLOBDB par le DB d'information sur le groupe 
d'exécution du programme de sécurité. 

* Remplacement de la variable QBAD_I_ xx ou QBAD_O_ xx par I'état de la valeur. 


300.1 
GRE me me 
™3005 
| SBS 
301.1 
— *VS_1300_1" ~© QBAD_iNt 
wI015 


05 == BAD Wea —*VS_1300_5" ~© QaaD_in2 


F_GLOSDG” VRE! —— OPEN NEC — OPEN_NEC 
— ACK_NEC — ACK_NEC 


_— tAcknawledge — Ack 
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11.2.4. Modification des fonctions de sécurité (2) 


Instructions non converties 
* Les fonctions ont été étendues et peuvent étre reproduites a I'identique avec les 
nouvelles fonctions. L’adaptation requise doit étre effectuée manuellement. 
* MUTING — MUT_P (MUT_P propose également une fonction d’inhibition 
temporaire de la fonction de protection) 


MING 
ACK_FEO 
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11.3. Mettre a niveau des projets STEP 7 Safety V13 SP1 en V16 


Faut-il mettre 4 niveau le projet ? 


melons por cane nbeipaninlpeccnl 
Pole eel pulase Ove ouvert on GGMA h don dare mis d niveau dle 
a de TIA Portal. 


ugedigent dren benodeary. rnd sous le nom 
_TA_Porte Projet” vie 


Pour terminer la conversion du projet, cholsissez la 
_ “Edition > Complies" pour chaque apperell du projet t 


Si vous souhaitez étendre un projet issu de STEP 7 Safety V13 SP1, vous devez mettre le projet a 
niveau en version STEP 7 Safety V16. 


Procédez a la mise en niveau, comme c’est l’usage dans STEP 7. Aprés la mise a niveau en 
V16, vous devez compiler votre programme de sécurité. 


(S7-300/400) : Apres la compilation, votre programme de sécurité est cohérent et la signature 
globale du programme de sécurité migré correspond a la signature globale de sécurité dans V13 
SP1. Il est inutile de procéder a la recette des modifications. 
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11.3.1. Nouvelle compilation 


+ Funtime group 
F-runtime group 1 [RTG1] 


locks Disable safety mode 


F-compliant PLC data types rn — 
Access protection rent 


Web server F-admins 
Settings 
Flexible F-Link 


Hardware F-signature 
F-communication address signature none 
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11.3.2. F-Convert-Log 


$7-1517F_G120C_STO_V16 > Données communes > Journaux > F-Convert-Log $7_1517F 2020-02-18 14:28:37 


(@|4.|@| 

Failsafe 

1! Message Allera  ? Date Heure 
{eae DR Dg GR oe eae nee eee anaes euns een Ua cena a nUenae Une e One nneGe. ......Reneeen J8102/2020 14:28:37 


A eee ne inca eh caer el tte ne SEH OP PETE TE cescranes Aacocone 382057 
A Please document the F-ollective signature with V16 18/02/2020 14:28:37 
ti} V13 SP1 Collective F-signature: OxDFFAF719 18/02/2020 14:28:37 
ti} V16 Collective F-signature: Ox4C521FE7 18/02/2020 14:28:37 
ti} ¥ List of block signatures eaenenn Tat! 
@ =~ Listofuser blocks 
FOB_RTG1 V13 SP1: Ox1FB38FO07 V16: Ox1D76294B Ane : + | ne ita 
~ Main_Safety_RTG1 V13 SP1: OxF88F55D8 V16: OxBODA5DB3 Dans F-Convert-Log, toutes 
fi} F_DB_Data V13 SP1: 0x27E959F6 V16: Ox27E959F6 les signatures de V13 SP1 
ti} Main_Safety_RTG1_DB V13 SP1: Ox27E959F6 V16: 0x27, : ates es eae 7 cage 
fi} Y List of F1/0 data blocks POCO CLL L COOOL CLEC C LCL a et V1i6 sont stockées. 
ti} FOO000_F-DI8x24VDCHF_¥# V13 SPT: Ox8B28E24A V16: Ox16922A1E 
fi} FO0007_F-DQ4x24VDCI2ZAPMHF_1 V13 SP1: OxE69CEB45 V16: OxAADAO825 : 
e F00016_Télégrarnme_PROFisafe_30 V13 SP1: OxB70DE797 V16: OxB91B5CD4 F 18/02/2020 14:28:37 
ti} SH_FO0016_Télégra mme "PROFESS SOV SHIPS! BRE YE BEC nnn = in S 
@ =~ _Listof system blocks Safety program status 
ti} ACK_GL V13SP1: 1.2 V16: V1.3 
i) ESTOP! V13 SP1: 1.3 V16: V1.6 Offline program: | The offline safety program is consistent. 
fi) Used Safety System version: V1.6 : = z So 
ti} (Instead of “Other instructions and F-system blocks* in V13 SP1 SIE aisemiag) (No online connection) 
Program signature 
Description Offline signature Time stamp 
Collective F-signature 1468A1F2 09/06/2017 13:45:25 (UTC +2:00) 


(S7-1200/1500) : Aprés la compilation, votre programme de sécurité est cohérent et la signature 
globale du programme de sécurité migré a été modifié par le systeme. La nouvelle signature 
globale du programme de sécurité avec STEP 7 Safety V16 remplace la signature globale du 
programme de sécurité avec STEP 7 Safety V13 SP1. 


Une vue synoptique de toutes les modifications opérées par le systeme est disponible sous 
"Données communes/Protocoles/F-Convert Log+CPU-Nom+horodatage". Ainsi, dans STEP 7 
Safety V16, les versions des instructions qui ne sont plus gérées par le systeme sont remplacées 
automatiquement par de nouvelles versions fonctionnelles identiques. La vue synoptique 
comporte une table de correspondance des signatures anciennes sous STEP 7 Safety V13 SP1 
avec les nouvelles signatures sous STEP 7 Safety V16 et montre les versions automatiquement 
converties. Imprimez la vue synoptique et consignez l’impression dans votre documentation. Il 
n’est pas nécessaire de procéder a la recette des modifications car, dans la vue synoptique, les 
signatures du programme de sécurité dans STEP 7 Safety V13 SP1 concordent avec la signature 
globale dans votre documentation. 


Veillez a ce que les historiques de versions ne soient pas mis a niveau. Aprés la mise a niveau, 
toutes les données antérieures sont effacées. Imprimez si nécessaire le protocole de modification 
avant la mise a niveau. 
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11.4. Mettre a niveau des projets STEP 7 Safety antérieurs a V13 SP1 


lA lA 
: /qan4 SPI oe VIS 
A 
I 
r [e 
! 
v 


sce 


<= vi2 Vi2 SP1/V13 V13 v4 Vv15 Vv15.1 
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Upgrade vers V13 SP1 Upgrade vers V14 SP1 V15 V15.1 


L’installation cote a cote de plusieurs versions de TIA Portal permet de travailler avec toutes versions 


Les projets antérieurs doivent étre mis a niveau en version V13SP1/SP2, a l’aide de la Version 
V13SP1/SP2, qui peut étre installée en paralléle (mode dual) avec la V16. 
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